StealC v2 è un infostealer diffuso sui social. Scopri come funziona, quali dati ruba e quali rischi comporta per utenti e aziende.
Navigare sui social network non comporta più soltanto il rischio di finire vittima di una truffa. Nel 2025 perfino la più banale e innocua tra le interazioni può diventare un entry point per un attacco mirato alla nostra identità digitale. Questi non si limitano alla sola sottrazione delle credenziali, ma prendono di mira informazioni sul sistema in uso, file personali, sessioni di navigazione e anche i portafogli virtuali. Il tutto sfruttando vulnerabilità spesso invisibili agli occhi dell’utente. Ciò che è cambiato non è solo la tecnica, ma il livello di professionalità dell’infrastruttura criminale che gestisce tutto ciò.
Nelle ultime settimane, una vecchia minaccia è tornata a dilagare sui social network, puntando soprattutto agli utenti più esposti. Il suo nome? StealC v2, che mira al furto massivo di dati.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è StealC
StealC è un infostealer appartenente alle minacce malware-as-a-service (MaaS). Scirtto interamente in C++, è stato individuato per la prima volta nel gennaio 2023 dai ricercatori di Sekoia, i quali hanno rivelato la sua diffusione nei forum di hacking underground in lingua russa. Stando alle loro dichiarazioni, la paternità di StealC sarebbe attribuita a Plymouth, uno sviluppatore che ha diffuso l’infostealer non solo su forum come XSS, ma anche nei marketplace del dark web e su canali Telegram. Fin dalla prima comparsa nei forum underground, il malware ha attirato attenzione per la sua struttura modulare e per la capacità di adattarsi a diversi scenari di attacco.
Dopo alcuni mesi di silenzio, Plymouth è tornato attivo sul forum XSS nel marzo 2025, annunciando la versione 2 di StealC. Questa è stata poi diffusa a partire dal mese successivo, venendo rilevata attraverso le indagini tecniche di ZScaler e S2W. A differenza della precedente versione, StalC v2 introduce comunicazioni con i server C2 (Command & Control) basate su JSON, l’algoritmo di criptazione RC4, decrittazione lato server e un builder integrato direttamente nella console operativa.
A differenza degli infostealer più comuni, StealC v2 si distingue per le sue capacità pratiche. Infatti, oltre al furto di cookie, credenziali e dati di navigazione memorizzati nel browser, è in grado di catturare screenshot su più monitor, esfiltrare file e utilizzare payload con estensioni .exe e .msi, unito a script PowerShell. Tutto ciò è possibile grazie all’ampia personalizzazione delle sue regole, configurabili direttamente da quanti lo acquistano sui marketplace del dark web.
Analisi tecnica di StealC v2
Per comprendere al meglio come funziona StealC v2, oltre a evidenziarne la pericolosità, effettueremo insieme una simulazione di attacco. Questa riproduce i passaggi più comuni osservati nelle campagne di phishing e malvertising finora rilevate dagli esperti di sicurezza informatica.
Il post esca su Facebook
Poiché Facebook è il social network più diffuso attualmente, non è difficile comprendere come mai esso rappresenti il principale punto di interesse dei criminali. La catena di attacco parte proprio qui, con un post sponsorizzato o un messaggio privato. L’utente si imbatte in un annuncio ingannevole, che segue lo stesso pattern di cui abbiamo discusso più volte: una promozione imperdibile, un link a un software gratuito, o un tool per migliorare le prestazioni del PC. Questi contenuti sono realizzati per sembrare autentici e, in alcuni casi, sponsorizzati da pagine compromesse con migliaia di follower.
Download del payload malevolo
Convinto e ingolosito dall’offerta, solo all’apparenza legittima, l’utente clicca sul link. Viene reindirizzato verso una pagina che replica fedelmente l’aspetto di un sito ufficiale, spesso con dominio simile a quello reale. Da qui scarica un file che può presentarsi come installer .exe, o pacchetto .msi, contenente il payload di StealC v2. I ricercatori di Kaspersky Lab hanno individuato alcune campagne che impiegano anche file compressi con password fornita nello stesso post, tecnica che riduce le probabilità di rilevamento da parte degli antivirus.
Esecuzione del malware
Appena eseguito, StealC v2 attiva il suo loader. In background si connette al server di comando e controllo, utilizzando comunicazioni cifrate con il precedentemente citato algoritmo RC4. A questo punto scarica i moduli necessari alle sue operazioni in base al profilo della vittima. Questi possono essere file grabber, screenshot tool, wallet stealer o password extractor. Tutto avviene senza che l’utente possa accorgersene, ancora convinto di aver installato un normale programma.
Esfiltrazione dei dati
StealC v2 inizia a collezionare cookie, credenziali salvate nei browser, cronologia di navigazione, file specifici (come documenti Word, fogli Excel, PDF, o archivi compressi) e cattura screenshots dell’intero desktop. Se sul dispositivo della vittima vengono individuate applicazioni di portafogli digitali, o di criptovalute, il malware ne intercetta i dati di configurazione. Tutte queste informazioni vengono compresse in un unico file con estensione criptata e inviate ai server C2, pronti per essere monetizzati o rivenduti nel dark web.
Modalità di diffusione osservate
Oltre a Facebook, StealC v2 è stato diffuso anche attraverso campagne di malvertising, in cui banner e annunci pubblicitari malevoli conducono a siti infetti. Tuttavia, il suo uso più massiccio è avvenuto tramite la diffusione del loader Amadey, che veicola StealC come payload secondario. Non mancano inoltre campagne di phishing via e-mail e la condivisione di file compromessi su canali Telegram e forum underground. Tutto ciò garantisce al malware una diffusione talmente ampia da ridurre al minimo le possibilità di tracciamento e contenimento.
Conseguenze per utenti e aziende
L’infezione da parte di StealC v2 comporta, per l’utente singolo, la compromissione completa della propria identità digitale. Password, cookie di sessione, file personali e wallet di criptovalute vengono sottratti e resi immediatamente disponibili ai criminali. Questo si traduce in accessi non autorizzati agli account social, perdita di dati sensibili e, nei casi peggiori, frodi economiche dirette.
Per le aziende il rischio è ancora più elevato. Un dipendente che esegue inconsapevolmente un file malevolo può esporre l’intera rete interna, consentendo ai criminali di accedere a credenziali aziendali, caselle e-mail istituzionali e repository di file condivisi. Da un singolo endpoint compromesso è possibile avviare una privilege escalation, movimenti laterali e persino campagne di spear phishing verso altri membri dell’organizzazione.
Oltre ai danni diretti, vanno considerati gli effetti indiretti. La sottrazione di dati riservati può determinare violazioni del GDPR e conseguenti sanzioni, oltre a gravi danni reputazionali. Per un’azienda, la perdita di fiducia da parte di clienti e partner può avere impatti economici più pesanti della compromissione tecnica stessa, trasformando un’infezione individuale in una vera e propria crisi di business continuity.
Best practices contro StealC v2
Poiché il malware sfrutta una combinazione di ingegneria sociale e tecniche avanzate di esfiltrazione dati, si devono adottare una serie di misure preventive che interessino sia l’utente finale, che l’infrastruttura aziendale. Vediamo insieme quali sono le più efficaci.
- Formazione continua del personale.
Sensibilizzare i dipendenti sui rischi legati a link e allegati sospetti, in particolare provenienti da social network e messaggistica istantanea. - Soluzioni di sicurezza multilivello.
Utilizzare EDR/XDR in grado di rilevare comportamenti anomali, come la creazione di processi PowerShell sospetti o connessioni cifrate verso server non noti. - Segmentazione della rete.
Si deve limitare la propagazione del malware isolando le workstation da asset critici e applicando criteri di accesso basati sul principio del minimo privilegio. - Monitoraggio dei log e azioni di threat intelligence.
Integrare feed aggiornati per identificare gli indicatori di compromissione (IoC) legati a StealC v2 e bloccarli in tempo reale. - Patch management rigoroso.
Mantenere costantemente aggiornati sistemi operativi e software applicativo, per ridurre la superficie d’attacco sfruttabile dai loader utilizzati per distribuire lo stealer. - Backup sicuri e testati.
Predisporre copie offline e verificare periodicamente i piani di ripristino per mitigare gli effetti di un’eventuale compromissione.
In conclusione
In base a quanto discusso, si è compreso che StealC v2 è l’evoluzione di una minaccia ampiamente consolidata, capace di coniugare l’ingegneria sociale con un’architettura modulare e tecniche avanzate di esfiltrazione dati. La sua diffusione attraverso canali di uso quotidiano, come i social network, dimostra quanto il confine tra vita privata e rischio aziendale sia sempre più sottile. Non è sufficiente contare sugli strumenti di protezione, perché la consapevolezza dell’utente resta l’anello decisivo nella catena difensiva.
Ecco perché si torna a ribadire che la sicurezza non può essere gestita come un insieme di misure isolate, ma deve diventare un processo continuo, fatto di monitoraggio, aggiornamento e formazione. Solo integrando tecnologie aggiornate e mantenendo alta la soglia di attenzione, è possibile ridurre l’impatto di minacce che, come StealC, evolvono costantemente e si adattano al contesto digitale odierno.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.