Università degli studi di Siena
 
La minaccia degli infostealer e la compromissione degli account

La minaccia degli infostealer e la compromissione degli account

Una delle minacce informatiche al momento più preoccupanti è rappresentata dagli infostealer (information stealer), una categoria di malware specializzata nel furto delle credenziali memorizzate sui sistemi compromessi.

Questi malware, diffusi attraverso i consueti canali di software pirata, crack e allegati malevoli inviati via mail, si installa nel PC/tablet/smartphone della vittima e sottrae, attraverso tecniche più o meno sofisticate, le credenziali presenti (ad esempio le password salvate nel browser). Queste credenziali, insieme ad altre informazioni sul sistema colpito e l’eventuale screenshot del desktop della vittima, vengono successivamente inviate all’attaccante attraverso canali specializzati. Le credenziali della vittima vengono poi successivamente sfruttate per compiere altri attacchi e/o rivendute sui market nel dark web.

L’Università di Siena, grazie alla recente acquisizione di una piattaforma che effettua anche attività di analisi e indagini CTI, viene avvertita su molte delle compromissioni da infostealer che vengono effettuate ai danni degli utenti @unisi.it e @student.unisi.it, permettendoci di attivarci per mitigare le conseguenze, sia informando la potenziale vittima che bloccando gli account compromessi.

Restano tuttavia valide le misure di sicurezza già consigliate:

  • iscrizione alle piattaforme di monitoring di compromissione dell’account, come Firefox Monitor e Have I Been Pwned, che notificano in tempo reale la presenza del proprio indirizzo mail/numero di telefono nei data breach pubblicati dalle cybergang;
  • utilizzo di credenziali univoche per ogni piattaforma, ovvero non utilizzare la medesima password su più servizi;
  • attivare, dove tecnicamente possibile, l’autenticazione a più fattori (MFA/2FA);
  • limitare l’uso dell’indirizzo mail istituzionale alle sole attività didattiche, istituzionali e di ricerca, evitando di usarlo per scopi ludici o strettamente personali;

si ricorda inoltre di segnalare prontamente via mail ad abuse@unisi.it qualsiasi compromissione, perdita di esclusività, furto delle proprie credenziali istituzionali, oltre a procedere nel più breve tempo possibile al cambio della password attraverso la procedura alla pagina my.unisi.it/password-change


One of the most worrying cyber threats are “infostealer” (information stealer), a category of malware specialized in stealing credentials stored on compromised systems.

This malware spread through the usual channels, like pirated software, cracks and malicious attachments sent by e-mail. Then installs itself in the victim’s PC/tablet/smartphone and steals, through more or less sophisticated techniques, the credentials present (e.g. passwords saved in the browser). These credentials, together with other information about the affected system and any screenshots of the victim’s desktop, are then sent to the attacker through specialized channels. The victim’s credentials are then subsequently exploited to carry out other attacks and/or resold on dark web markets.

The University of Siena, thanks to the recent acquisition of a platform that also carries out CTI analysis and investigations, is alerted to many of the compromises by infostealers that are carried out against @unisi.it and @student.unisi.it users, allowing us to take action to mitigate the consequences, either by informing the potential victim or by blocking the compromised accounts.

However, the security measures already recommended remain valid:

  • subscribing to account compromise monitoring platforms, such as Firefox Monitor and Have I Been Pwned, which notify you in real time of the presence of your email address/phone number in data breaches published by cybergangs;
  • using unique credentials for each platform, i.e. not using the same password on multiple services;
  • activate multi-factor authentication (MFA/2FA) where technically possible;
  • limit the use of the institutional email address to teaching, institutional and research activities only, avoiding using it for recreational or strictly personal purposes;

you are also reminded to promptly report by email to abuse@unisi.it any compromise, loss of exclusivity, theft of your institutional credentials, as well as to proceed as soon as possible to change your password through the procedure at my.unisi.it/password-change