DarkCloud: l'infostealer che costa 30 dollari e fa tremare le aziende

Il cybercrimine non è più un “privilegio” riservato a pochi specialisti o a gruppi criminali organizzati: oggi, con appena trenta dollari, chiunque può entrare in possesso di strumenti malevoli capaci di mettere in ginocchio aziende di ogni dimensione.

È questa la rivoluzione silenziosa che sta investendo il panorama della sicurezza informatica, una democratizzazione della minaccia che cambia le regole del gioco e spalanca le porte a nuovi rischi. Un esempio emblematico di questa trasformazione è DarkCloud, un infostealer sofisticato che ha abbattuto ogni barriera d’ingresso al cybercrime, mettendo a disposizione anche dei criminali meno esperti un arsenale devastante.

L’accessibilità economica e tecnica di DarkCloud rappresenta il vero spartiacque: la possibilità di acquistare e utilizzare uno strumento così potente per pochi euro ha reso il cybercrimine un fenomeno di massa. Dal 2022, infatti, il malware viene distribuito apertamente su Telegram e su altre piattaforme digitali, consentendo a chiunque disponga di una connessione internet di lanciare attacchi su larga scala. Questa capillarità di diffusione, unita a un prezzo irrisorio, crea il terreno ideale per campagne malevole indiscriminate che colpiscono aziende, enti pubblici e privati cittadini senza distinzioni.

DarkCloud è un infostealer low cost acquistabile tramite Telegram

Dal punto di vista tecnico, DarkCloud si distingue per un livello di sofisticazione inaspettato, soprattutto se si considera la sua origine “popolare”. Il malware è stato sviluppato in Visual Basic 6.0, un linguaggio che molti considerano obsoleto ma che, proprio per questo, riesce a eludere i sistemi di rilevamento più moderni. La scelta di utilizzare un ambiente così datato si rivela strategica: la presenza ancora diffusa di Visual Basic su numerose installazioni Windows permette al malware di passare inosservato e di sfruttare vulnerabilità poco presidiate. Non solo: la crittografia multilivello delle stringhe e le tecniche di offuscamento rendono particolarmente ardua l’analisi statica e il reverse engineering, proteggendo il codice malevolo da indagini approfondite.

Le modalità di esfiltrazione dei dati, altro elemento chiave di DarkCloud, sono estremamente versatili. Il malware è in grado di raccogliere e trasferire informazioni rubate attraverso canali diversi: SMTP, FTP, HTTP e, in particolare, direttamente su Telegram. Questa flessibilità garantisce agli operatori la possibilità di ricevere il bottino in modo rapido e difficilmente tracciabile. Tra i dati presi di mira figurano credenziali di accesso ai servizi online, cookie di sessione, dati finanziari, contatti email e altre informazioni sensibili che permettono di costruire un profilo dettagliato delle vittime. È proprio la sottrazione delle credenziali a rappresentare il punto di partenza per attacchi più complessi: dal phishing mirato ai movimenti laterali all’interno della rete, fino alla distribuzione di ransomware su vasta scala.

Uno spauracchio per le aziende

Dal punto di vista delle aziende, strumenti come DarkCloud sono diventati il punto di ingresso ideale per minacce industriali. La facilità con cui è possibile compromettere un’organizzazione, anche con risorse limitate, rende il rischio economico sostenibile perfino per attori con poca esperienza: basta un tasso di successo minimo per ottenere un ritorno significativo. Di fronte a questo scenario, la comunità della cybersecurity si trova divisa sulle strategie da adottare.

I responsabili della sicurezza invocano controlli multipli: monitoraggio costante delle credenziali, implementazione di sistemi EDR/XDR aggiornati, segmentazione delle reti e formazione continua dei dipendenti. Altri esperti sottolineano l’importanza di un maggiore coordinamento con le forze dell’ordine e di una pressione crescente sui provider, affinché limitino la diffusione di strumenti malevoli attraverso piattaforme come Telegram.

Le contromisure più efficaci seguono una logica difensiva articolata: autenticazione multifattore sugli accessi critici, isolamento dei dati sensibili, aggiornamento costante di sistemi operativi e software di sicurezza. Fondamentale è anche la sensibilizzazione degli utenti sui rischi legati all’ingegneria sociale e all’esecuzione di file non verificati. In caso di incidente, le organizzazioni devono essere pronte a revocare tempestivamente le credenziali compromesse, ricercare eventuali movimenti laterali e collaborare con specialisti forensi per limitare i danni e prevenire ulteriori compromissioni.