Pony Stealer: analisi di un infostealer

Scopri Pony Stealer, un infostealer che ruba password e dati sensibili senza lasciare tracce. Analisi approfondita e consigli su come difendersi.

Cos’è Pony Stealer?
Come funziona Pony Stealer?
Best practice contro gli infostealer come Pony

Ogni giorno emergono nuove minacce pronte a colpire utenti e aziende, sfruttando vulnerabilità, ingegneria sociale e tecniche sempre più sofisticate. Se un tempo i malware si limitavano a distruggere dati o rendere inservibili i sistemi, oggi il loro obiettivo è ben più mirato: rubare informazioni sensibili. Password, credenziali bancarie, dati aziendali: tutto ha un valore e tutto può essere monetizzato nel mercato nero del cybercrimine.

Tra le minacce più insidiose di questo scenario si trova Pony Stealer, un malware specializzato nel furto di credenziali. Diffuso per la prima volta oltre un decennio fa, Pony ha saputo evolversi, adattandosi alle nuove tecnologie e alle contromisure di sicurezza. Al giorno d’oggi questi risulta ancora in piena attività e continua a rappresentare un pericolo concreto per chi non adotta adeguate misure di protezione.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è Pony Stealer?

Pony Stealer è un malware di tipo infostealer. Conosciuto anche come Pony Loader, o FareIT, è progettato per sottrarre informazioni sensibili da browser web, client email, software FTP e portafogli di criptovalute. Scoperto e documentato per la prima volta nel 2011, la sua creazione è stata attribuita a sviluppatori russi attivi nel cybercrimine. La sua diffusione è avvenuta principalmente tramite campagne di phishing, exploit kit e download drive-by, colpendo migliaia di utenti e aziende in tutto il mondo.

Il funzionamento di Pony Stealer è tanto semplice quanto devastante. Una volta eseguito, il malware scansiona il sistema alla ricerca di credenziali memorizzate, rubando login di browser, client email, wallet di criptovalute e software FTP. I dati raccolti vengono poi inviati a un server di comando e controllo (C2) gestito dai criminali, che possono così accedere agli account compromessi o rivendere le informazioni nel dark web. La sua notorietà ha raggiunto l’apice nel 2013, quando una variante del malware ha compromesso oltre due milioni di account tra social network, servizi bancari e piattaforme aziendali.

Nel corso degli anni, Pony Stealer ha subito notevoli evoluzioni per adattarsi alle contromisure di sicurezza più moderne. Inizialmente limitato al furto di credenziali da browser e client di posta, nel tempo il malware ha integrato moduli aggiuntivi per raccogliere file di backup di password manager e dati di autenticazione a due fattori (2FA). Per aggirare ulteriori misure di sicurezza, i criminali hanno sviluppato varianti del malware capaci di sfuggire agli ambienti virtualizzati. La sua costante evoluzione lo ha reso sempre più difficile da contrastare, rendendolo uno degli infostealer più temuti.

Come funziona Pony Stealer?

Poiché parliamo di un infostealer, il suo modus operandi è silenzioso ed efficace. Scritto interamente in C++, Pony Stealer sfrutta metodi avanzati di elusione per aggirare le difese dei sistemi infetti e stabilire un canale di comunicazione con i server degli attaccanti. Per comprendere il reale pericolo che questo rappresenta, analizziamo il suo funzionamento attraverso una simulazione di attacco.

Infezione e distribuzione

Pony Stealer sfrutta prevalentemente tecniche di social engineering per distribuire il proprio payload. Il malware viene, infatti, diffuso tramite phishing via e-mail contenenti allegati dannosi. I formati maggiormente impiegati sono:

.zip;
.exe;
.doc e .docx contenenti macro infette;

Gli utenti vengono indotti a scaricare ed eseguire l’allegato, camuffato da documento legittimo. Una volta eseguito, il malware si installa in maniera persistente nel sistema, copiandosi in directory nascoste e creando processi fittizi nei task manager di Windows. Utilizzando process injection, Pony Stealer inietta il suo codice all’interno di processi legittimi, come svchost.exe o explorer.exe, per passare inosservato alle scansioni delle soluzioni antivirus.

Elusione delle difese e persistenza nel sistema

Per evitare la scansione dei software antivirus e delle sandbox, il malware offusca il proprio codice con tecniche come polimorfismo e crittografia del payload. Inoltre, può utilizzare una tecnica conosciuta come DLL injection, che gli permette di agganciarsi a processi legittimi in esecuzione e disabilitare temporaneamente i software di sicurezza presenti nel sistema. Per assicurarsi una certa persistenza all’interno del sistema bersaglio, Pony Stealer si copia in percorsi non convenzionali del file system e modifica i valori di registro di Windows. Più nello specifico crea una sua chiave specifica nel percorso:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Così facendo, il malware viene eseguito automaticamente ad ogni riavvio di sistema.

Raccolta di dati sensibili

Poiché progettato per sottrarre una vasta gamma di informazioni sensibili, Pony Stealer sfrutta un modulo di keylogging per registrare le sequenze di tasti digitati. In particolare memorizza nomi utente, password, numeri di carte di credito e codici di accesso bancari. Inoltre, il malware è in grado di catturare schermate e acquisire informazioni presenti in finestre di applicazioni attive, come:

Browser (Chrome, Edge, Brave, Opera GX, Mozilla Firefox);
Client di messaggistica (Discord, Skype, Microsoft Teams, WhatsApp Web, Telegram Desktop);
Client di posta elettronica (Microsoft Outlook, Gmail, Mozilla Thunderbird);

Si sono osservate tecniche di web injects per rubare credenziali di accesso alle piattaforme bancarie e di pagamento online. Queste avvengono attraverso l’iniezione di contenuti HTML personalizzati nelle pagine web delle vittime. Oltre a questi dati, Pony Stealer raccoglie anche i file cookie dei browser, permettendo agli attaccanti di bypassare eventuali sistemi di autenticazione a due fattori.

Esfiltrazione dei dati sensibili

Una volta collezionati i dati sensibili, Pony Stealer stabilisce una connessione HTTPS crittografata con i server di comando e controllo gestiti dagli attori malevoli. La comunicazione avviene attraverso il protocollo POST, utilizzando SSL/TLS per mascherare il traffico e impedire il rilevamento tramite i firewall. Il traffico può essere ulteriormente camuffato tramite IP spoofing, o utilizzando server proxy, per evitare che venga rilevato da soluzioni di monitoraggio delle reti. I dati trafugati sono quindi inviati ai server remoti degli aggressori, che li sfruttano per il furto di identità, frodi bancarie o per il lancio di attacchi mirati verso altre vittime.

Best practices contro gli infostealer come Pony

Poiché il malware utilizza diverse tecniche per eludere i sistemi di difesa, si devono considerare una serie di difese ben strutturate. Di seguito sono riportate alcune delle best practices che le organizzazioni e gli utenti devono implementare per proteggersi in modo efficace.

Eseguire aggiornamenti costanti dei propri sistemi.
Dato che gli attaccanti sfruttano vulnerabilità note per compromettere i dispositivi, bisogna monitorare e applicare aggiornamenti per software di sicurezza, browser, e client di posta elettronica. Questo perché sono i bersagli prediletti degli infostealer come Pony.
Affidarsi a soluzioni antivirus e antimalware professionali.
Non tutte le soluzioni di sicurezza sono in grado di rilevare malware come Pony Stealer, quindi è importante scegliere strumenti che includano funzionalità di analisi comportamentale, in grado di individuare attività sospette anche in assenza di firme conosciute.
Adottare soluzioni di filtraggio delle e-mail.
Poiché Pony Stealer si diffonde principalmente tramite phishing, l’implementazione di filtri avanzati contro lo spam e l’ispezione dei link contenuti nelle email è cruciale. Le organizzazioni devono sensibilizzare gli utenti ad evitare di aprire allegati sospetti, o cliccare su link provenienti da fonti non verificate. Tecnologie come i filtri URL e l’uso di sandboxing per testare i contenuti sconosciuti, possono ridurre notevolmente il rischio di infezione.
Implementare soluzioni efficaci della gestione degli accessi.
L’impiego di gestori di password e tecniche come l’autenticazione a due fattori (2FA) è essenziale per proteggere gli account da accessi non autorizzati. Implementare politiche di accesso privilegiate per limitare i permessi agli utenti e monitorare l’accesso a informazioni sensibili, aiuta a ridurre la superficie di attacco. I sistemi di gestione delle credenziali aziendali vanno protetti con algoritmi di crittografia avanzati e audit continui.
Implementare un piano di monitoraggio degli endpoint affidabile.
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.

In conclusione

Pony Stealer è un chiaro esempio di quanto il panorama delle minacce informatiche sia in continua evoluzione. Sebbene non rappresenti una minaccia nuova, la sua capacità di adattarsi e di sfruttare vulnerabilità emergenti, lo rende un malware pericoloso e difficile da contrastare. Come per ogni tipo di infostealer, la prevenzione e la protezione si giocano sull’adozione di misure di sicurezza robuste e sull’aggiornamento costante delle difese. Il nostro impegno continuo deve essere quello di mantenere sistemi e software costantemente aggiornati, utilizzare soluzioni di monitoraggio avanzate e sensibilizzare gli utenti a riconoscere e prevenire attacchi del genere.

Bisogna tenere a mente che la sicurezza informatica non è mai un traguardo, ma un percorso senza fine.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.