Netcrook Logo
👤 TRUSTBREAKER
🗓️ 08 Apr 2026  

Bandito della Blockchain: Remus Infostealer segna una nuova era nel furto di credenziali

Un ceppo di malware furtivo eredita il codice di Lumma - e si spinge oltre con evasione alimentata dalle crypto e contromisure contro gli analisti.

Nel mondo oscuro del cybercrimine, l’evoluzione è costante - e a volte è rivoluzionaria. La recente comparsa di Remus Infostealer, un malware high-tech progettato per il furto di credenziali, ha messo in allarme i ricercatori di sicurezza. Nato dalle ceneri del famigerato Lumma Stealer, Remus non è un semplice imitatore: combina strategie d’attacco collaudate con tecniche di evasione all’avanguardia, minacciando individui e organizzazioni in tutto il panorama digitale.

Dall’eredità di Lumma all’ascesa di Remus

Le origini di Remus risalgono direttamente a Lumma, un famigerato infostealer che ha scosso il sottobosco cyber fino a quando i suoi sviluppatori sono stati smascherati alla fine del 2025. I ricercatori di Gen Digital hanno identificato una versione “ponte” cruciale - Tenzor - che ha fatto da banco di prova per nuove funzionalità, confermando l’architettura condivisa e le tecniche d’attacco di Remus.

Nel suo nucleo, Remus è progettato per sottrarre dati sensibili - credenziali del browser, cookie di sessione e wallet digitali - tramite un attacco altamente specializzato. Sia Lumma sia Remus possono aggirare l’Application-Bound Encryption (ABE) nei browser Chromium, ma Remus lo fa con uno shellcode più snello e compatto che si inietta direttamente nella memoria del browser. Questo gli consente di decifrare al volo le chiavi protette - un approccio un tempo unico di Lumma, ora trasformato in un’arma in una forma più avanzata.

C2 alimentato dalla blockchain: il vantaggio di EtherHiding

Dove Remus apre davvero nuove strade è nel suo approccio all’infrastruttura di command and control (C2). Mentre Lumma si affidava a “dead drop resolver” - link nascosti su piattaforme come Steam o Telegram - per inoltrare gli indirizzi C2, Remus passa a “EtherHiding”. Qui, il malware interroga uno smart contract pubblico su Ethereum per ottenere il proprio indirizzo C2, sfruttando la resilienza della blockchain. Questa tattica rende quasi impossibile per i difensori interrompere o dirottare (sinkhole) le operazioni di Remus con i metodi tradizionali.

Consapevole degli analisti: evasione al massimo

Remus non è solo furtivo - è paranoico. Prima di rubare un byte, scandaglia alla ricerca di segnali rivelatori di analisi malware: moduli sandbox di strumenti come Avast, Sandboxie o Comodo. Se li rileva, Remus si termina silenziosamente, evitando il controllo. Con un ulteriore colpo di scena, controlla persino i documenti dell’utente alla ricerca di un file Outlook esca (“honey@pot.com.pst”). Se lo trova, presume che sia una trappola e interrompe l’esecuzione.

Queste innovazioni - combinate con il suo nucleo di furto dati affinato da Lumma - rendono Remus un avversario formidabile per i difensori e un pericoloso upgrade per l’ecosistema del cybercrimine.

Conclusione: un nuovo punto di riferimento per i malware stealth

L’ascesa di Remus Infostealer segnala un cambiamento inquietante: gli attaccanti stanno fondendo sofisticazione tecnica e astuzia operativa, usando tecnologie decentralizzate per superare i difensori. Mentre la linea tra cybercrimine e innovazione cyber si fa sempre più sfumata, la caccia al prossimo Remus è già iniziata.

WIKICROOK

  • Infostealer: Un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - dai computer infetti senza che l’utente se ne accorga.
  • Applicazione: Un’applicazione è un software progettato per compiti specifici. In cybersecurity, mettere in sicurezza le applicazioni è fondamentale per prevenire attacchi che sfruttano vulnerabilità del software.
  • Shellcode: Lo shellcode è un piccolo programma iniettato dagli attaccanti per eseguire comandi o scaricare altro malware, spesso usato per sfruttare vulnerabilità nei sistemi.
  • Command and Control (C2): Il Command and Control (C2) è il sistema che gli hacker usano per controllare da remoto i dispositivi infetti e coordinare attacchi informatici malevoli.
  • Sandbox: Una sandbox è un ambiente sicuro e isolato in cui gli esperti analizzano in sicurezza file o programmi sospetti senza mettere a rischio sistemi o dati reali.
Remus Infostealer credential theft blockchain technology
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news