Gli infostealer si confermano tra le minacce più diffuse nel panorama del malware nel 2025. Si tratta di software dannosi progettati per sottrarre in modo silenzioso dati sensibili da browser e applicazioni installate sui dispositivi delle vittime. Le informazioni raccolte vengono aggregate e inviate ai criminali informatici, che le sfruttano in un secondo momento per accessi non autorizzati, frodi o compromissioni di account. Secondo un’analisi condotta dagli esperti di NordVPN attraverso la piattaforma NordStellar, sono stati esaminati i 10.000 domini più frequentemente citati nei log degli infostealer a livello globale nel corso del 2025. L’indagine ha identificato quasi 500 milioni di log associati a infezioni, offrendo uno spaccato dettagliato delle abitudini digitali più sfruttate dagli attaccanti.
Cosa sono gli infostealer e perché sono così efficaci
Gli infostealer sottraggono credenziali di accesso, sessioni attive, cookie, dati di navigazione e informazioni salvate nei browser. A differenza di altre forme di malware, il danno non sempre è immediato. Spesso la vittima si accorge dell’infezione solo quando rileva accessi sospetti, acquisti non autorizzati o reset improvvisi delle password. Il fenomeno è alimentato da centinaia di varianti gestite da gruppi criminali diversi. Molti kit vengono venduti o affittati secondo il modello “malware-as-a-service”, con diffusione tramite malvertising, installer falsi, software pirata e piattaforme di messaggistica.
“Gli infostealer non prendono di mira un tipo di persona, ma un comportamento prevedibile”, ha dichiarato Marijus Briedis, CTO di NordVPN. Il punto critico è la quantità di informazioni che un dispositivo conserva: maggiore è il numero di sessioni e credenziali memorizzate, più elevato è il rischio in caso di compromissione.
Windows resta il bersaglio principale
Quasi il 99% delle vittime identificate nel 2025 utilizza Windows. La concentrazione su questo sistema operativo dipende dalla sua ampia diffusione e dal supporto ai browser e agli ecosistemi di gioco più popolari. Per i criminali rappresenta un ambiente stabile e profittevole per campagne su larga scala.
I tre profili più colpiti nel 2025
L’analisi ha classificato le vittime in base ai siti visitati e alle applicazioni installate, individuando tre gruppi ricorrenti.
1. Utenti internet e social media
Il gruppo più numeroso è composto da utenti comuni che utilizzano quotidianamente social, servizi di streaming ed e-commerce. Sono stati collegati quasi 65 milioni di log a piattaforme come Facebook, Instagram, Discord e X.
Altri 28 milioni di log risultano associati a servizi di streaming come Netflix, Disney+ e HBO, mentre circa 26 milioni riguardano siti di e-commerce come Amazon ed eBay.
Il valore per gli attaccanti è diretto: una sessione di browser rubata può consentire l’accesso a email, marketplace e servizi di pagamento senza necessità di forzare la password.
2. Giocatori
I gamer costituiscono il secondo gruppo più numeroso, con oltre 53 milioni di log rilevati. Le infezioni sono spesso legate a download di mod, cheat, launcher non ufficiali o versioni crackate di giochi.
Tra le piattaforme più frequentemente citate figurano Roblox, Steam, Epic Games, Fortnite, Twitch, Riot Games e Minecraft.
Molti account di gioco conservano metodi di pagamento e beni digitali di valore. In ambito familiare, un singolo download rischioso può compromettere un PC condiviso e mettere a rischio l’intero nucleo.
3. Professionisti IT
Il terzo profilo riguarda i professionisti IT, con quasi 27 milioni di log. In questi casi i dispositivi infetti presentano strumenti di sviluppo, software di database e soluzioni di accesso remoto.
Tra i portali più esposti figurano piattaforme cloud, repository di codice, servizi di collaborazione come Zoom, portali HR, web builder e LinkedIn.
Il rischio è superiore perché le credenziali sottratte possono aprire l’accesso a sistemi interni, ambienti di sviluppo e infrastrutture aziendali.
Come ridurre il rischio
Secondo NordVPN, la strategia più efficace consiste nel limitare la quantità di informazioni che un dispositivo può esporre in caso di compromissione.
È opportuno attivare l’autenticazione a più fattori e, dove disponibili, le passkey per gli account critici come email e servizi bancari. Occorre verificare periodicamente le password salvate nel browser, eliminare quelle obsolete e chiudere le sessioni non riconosciute. L’aggiornamento costante di sistema operativo e browser resta essenziale.
Particolare attenzione va riservata ai download sospetti. Software che richiedono la disattivazione delle protezioni o l’installazione di launcher non ufficiali rappresentano uno dei principali vettori di infezione.
