Gli infostealer-as-a-service spingono gli attacchi d'identità a livelli record

Secondo i ricercatori di sicurezza informatica di eSentire, il malware infostealer e i toolkit avanzati di phishing sono alla base di un enorme aumento del 156% negli attacchi informatici che prendono di mira i dati di accesso e le informazioni di identità degli utenti, con effetti negativi sia sui lavoratori in ufficio che su quelli da remoto.

Il rapporto di eSentire, condiviso con Hackread.com, ha anche evidenziato che gli aggressori si stanno concentrando sempre di più sul furto di dettagli di accesso e cookie di sessione, che poi utilizzano per commettere reati finanziari come Business Email Compromise ( BEC ) e furto di criptovalute.

Un fattore chiave che determina questa impennata, secondo il rapporto (PDF), è la disponibilità di piattaforme di Phishing-as-a-Service (PhaaS), che riducono le competenze tecniche e i costi necessari ai criminali per lanciare attacchi. Piattaforme come Tycoon 2FA , ad esempio, offrono pagine di phishing predefinite per piattaforme popolari come Microsoft 365 e Google Workspace a un prezzo compreso tra 200 e 300 dollari al mese.

Questi servizi utilizzano tecniche intelligenti di tipo Adversary-in-the-Middle ( AitM ), fungendo da intermediari per acquisire credenziali di accesso e persino token di autenticazione in tempo reale, spesso bypassando l'autenticazione a più fattori (MFA) in pochi minuti. In particolare, i casi di BEC hanno registrato un aumento del 60% su base annua, rappresentando il 41% di tutti gli attacchi nel primo trimestre del 2025.

Un recente rapporto sullo stato della sicurezza dei browser di Menlo Security ha identificato oltre 752.000 attacchi di phishing basati su browser in più di 800 aziende, con un aumento del 140% rispetto all'anno precedente, evidenziando come i browser siano diventati un bersaglio primario. Questa tendenza include anche un infostealer emergente chiamato Acreed, apparso per la prima volta nel febbraio 2025, che ora compete in questi mercati online oscuri, soprattutto dopo che le forze dell'ordine hanno bloccato l'infrastruttura di un altro importante infostealer, Lumma Stealer , nel maggio 2025.

Il rapido passaggio dagli attacchi opportunistici a operazioni sistematiche basate sui servizi significa che i criminali stanno passando dal furto di credenziali alla commissione di frodi nel giro di poche ore. Con il 78% delle operazioni PhaaS identificate provenienti dagli Stati Uniti (anche se questo spesso riflette la posizione geografica dell'hosting, non la vera base dell'aggressore), la portata globale di queste minacce è significativa.

Si consiglia vivamente a organizzazioni e privati ​​di migliorare la propria sicurezza informatica. Questo include l'adozione di metodi di autenticazione resistenti al phishing, il monitoraggio continuo di tentativi di accesso o modifiche insolite e la costante attenzione a email e allegati indesiderati. La velocità e la sofisticatezza di questi attacchi basati sull'identità rendono le misure di difesa proattive più cruciali che mai.

" Questo report rispecchia efficacemente le tendenze osservate dal Cyber ​​Defense Center di Ontinue nell'ultimo anno. Con l'ascesa di una redditizia economia sommersa alimentata da piattaforme di Phishing-as-a-Service (PhaaS) come Tycoon2FA, anche gli autori di minacce meno qualificati possono ora ottenere l'accesso iniziale senza sfruttare vulnerabilità tecniche " , ha affermato Will Bailey , Senior SOC Analyst di Ontinue.

" Di conseguenza, il phishing e gli attacchi basati sull'identità sono diventati un persistente gioco del gatto e del topo tra aggressori e difensori " , ha avvertito Will. " Ciò sottolinea la necessità critica di un servizio di Managed Detection and Response (MDR) 24 ore su 24, 7 giorni su 7, che includa il rilevamento e la risposta alle minacce all'identità, consentendo alle organizzazioni di revocare i token di sessione e terminare le sessioni attive in tempo reale " , ha aggiunto.