Ucraina identifica operatore infostealer con 28.000 account rubati e frodi online

La Cyberpolizia ucraina identifica un presunto operatore di infostealer collegato al furto di 28.000 account appartenenti agli utenti di un negozio online californiano. L’indagine, condotta con il supporto delle autorità statunitensi, porta a un 18enne residente a Odessa accusato di amministrare l’infrastruttura usata per elaborare, vendere e sfruttare credenziali, cookie e token di sessione rubati. Il caso mostra come un singolo amministratore possa gestire una filiera criminale completa, dal furto silenzioso dei dati alla monetizzazione attraverso frodi online. Il malware avrebbe infettato dispositivi tra il 2024 e il 2025, trasmettendo ai server degli attaccanti informazioni sensibili poi utilizzate per accedere agli account delle vittime. Gli hacker avrebbero sfruttato almeno 5.800 account per effettuare acquisti non autorizzati dal valore complessivo di circa 661.000 euro. I danni diretti, inclusi i chargeback, superano i 229.000 euro, equivalenti a oltre 11 milioni di grivnie. Le perquisizioni eseguite a Odessa hanno portato al sequestro di telefoni, computer, carte bancarie, supporti di archiviazione, log di server, accessi a piattaforme per la vendita di dati rubati e account su exchange di criptovalute. L’operazione conferma la centralità degli infostealer nel cybercrime contemporaneo, dove i token di sessione rubati consentono spesso di superare password e autenticazione a due fattori.

Cyberpolizia ucraina identifica un 18enne di Odessa come amministratore dell’infrastruttura

La Cyberpolizia ucraina attribuisce a un giovane di 18 anni residente a Odessa un ruolo centrale nello schema internazionale di furto e monetizzazione di account online. Secondo gli investigatori, il sospettato amministrava l’infrastruttura internet utilizzata per ricevere, ordinare, vendere e sfruttare i dati di sessione rubati da dispositivi infetti. Il suo ruolo emerge dall’analisi dei log server, degli accessi alle piattaforme criminali e delle risorse online dedicate alla commercializzazione delle informazioni sottratte. L’indagine, sviluppata insieme alle autorità statunitensi, ricostruisce il percorso dei dati rubati dal momento dell’infezione fino alla vendita o all’utilizzo diretto per frodi su larga scala. Il sospettato avrebbe gestito anche bot Telegram e risorse specializzate per distribuire dati compromessi, coordinando transazioni con i complici attraverso servizi di criptovalute. Questo elemento rafforza il quadro di una struttura organizzata, non limitata a un’attività opportunistica individuale. Il giovane non risulta ancora formalmente arrestato, ma le perquisizioni e i sequestri eseguiti indicano una raccolta probatoria già avanzata. La collaborazione tra Cyberpolizia ucraina, autorità americane, Polizia Nazionale e Ufficio del Procuratore Generale mostra l’importanza dei canali di assistenza legale internazionale nelle indagini contro il cybercrime transfrontaliero.

L’infostealer ruba credenziali, cookie e token di sessione dagli utenti

Gli attaccanti utilizzano un malware di tipo infostealer per compromettere silenziosamente i dispositivi delle vittime e raccogliere dati sensibili dai browser, dalle applicazioni e dagli ambienti di pagamento. Il software sottrae credenziali di accesso, cookie, token di sessione, dati di pagamento e, in alcuni casi, informazioni collegate a portafogli di criptovalute. Una volta raccolti, questi dati vengono trasmessi ai server controllati dagli operatori senza che l’utente rilevi anomalie immediate. Il furto dei token di sessione rappresenta l’aspetto più insidioso dell’operazione, perché consente agli attaccanti di accedere agli account come se la sessione fosse ancora legittimamente aperta. In molti casi questa tecnica permette di superare anche l’autenticazione a due fattori, aggirando una delle protezioni più diffuse contro l’accesso non autorizzato. Il negozio online colpito ha sede in California e la compromissione riguarda oltre 28.000 account in un arco temporale compreso tra il 2024 e il 2025. Gli utenti venivano infettati tramite siti o file malevoli che attivavano il malware in background. Dopo l’infezione, l’infostealer estraeva rapidamente le informazioni disponibili e le caricava sull’infrastruttura gestita dagli attaccanti. La velocità del passaggio tra furto, vendita e frode rende questi malware particolarmente pericolosi per consumatori e aziende e-commerce.

Gli account rubati generano frodi per 661.000 euro

I criminali sfruttano almeno 5.800 account compromessi per effettuare acquisti non autorizzati dal valore complessivo di circa 661.000 euro. Le transazioni fraudolente generano perdite dirette per il negozio online californiano superiori a 229.000 euro, includendo i chargeback attivati dai titolari degli account dopo aver rilevato addebiti non riconosciuti. Il danno equivalente supera gli 11 milioni di grivnie, confermando l’impatto economico concreto di un’operazione basata su credenziali e sessioni rubate. Ogni account compromesso diventa un vettore di frode immediatamente monetizzabile, soprattutto quando consente di accedere a profili già verificati, indirizzi salvati, metodi di pagamento memorizzati e storico degli ordini. Gli attaccanti selezionano prodotti di valore elevato per massimizzare il profitto e ridurre il tempo tra accesso abusivo e conversione economica. Le perdite non riguardano solo il valore degli acquisti fraudolenti, ma includono anche rimborsi, contestazioni, costi di indagine, interventi di sicurezza e danno reputazionale. Il caso dimostra che il furto di token di sessione produce effetti più rapidi e più difficili da contenere rispetto al semplice furto di password, perché l’accesso appare spesso come una prosecuzione della sessione dell’utente legittimo. Per le piattaforme e-commerce, questo scenario impone sistemi più avanzati di rilevamento comportamentale, verifica delle transazioni ad alto valore e revoca automatica delle sessioni sospette.

Le perquisizioni a Odessa portano al sequestro di prove digitali

Durante due perquisizioni presso le residenze del sospettato a Odessa, gli investigatori sequestrano telefoni cellulari, computer, carte bancarie, supporti di archiviazione elettronica e altri materiali digitali ritenuti rilevanti per l’indagine. Tra gli elementi confiscati figurano accessi a risorse dedicate alla vendita di dati rubati, indirizzi email usati per modificare parametri degli account compromessi, log di attività dei server e profili su piattaforme di scambio di criptovalute. Questi materiali rappresentano il nucleo probatorio del caso e consentono agli investigatori di ricostruire il ruolo operativo del 18enne nella gestione dell’infrastruttura malevola. I dispositivi sequestrati avrebbero contenuto tracce delle transazioni in criptovalute eseguite con i complici e dei flussi di dati ricevuti dai server degli infostealer. La presenza simultanea di hardware, log, accessi criminali e account cripto rafforza l’ipotesi di un coinvolgimento diretto nella catena di monetizzazione. La Cyberpolizia ha eseguito l’operazione su richiesta di assistenza internazionale proveniente dagli Stati Uniti, interrompendo l’attività dell’amministratore e acquisendo informazioni utili per identificare eventuali complici. Il sequestro di account e strumenti finanziari digitali colpisce inoltre la componente economica dell’organizzazione, limitando la capacità di riciclare proventi e finanziare ulteriori campagne.

Ucraina e Stati Uniti ricostruiscono la filiera criminale transnazionale

L’indagine nasce da una richiesta formale di assistenza legale internazionale da parte delle autorità statunitensi e si sviluppa attraverso la cooperazione tra Cyberpolizia ucraina, Dipartimento Investigativo Principale della Polizia Nazionale e Ufficio del Procuratore Generale. Le forze dell’ordine condividono log, tracce digitali e informazioni operative per ricostruire il percorso dei dati rubati dal negozio californiano fino ai server amministrati dal sospettato ucraino. Il caso conferma che le campagne basate su infostealer raramente restano confinate a un solo paese. Gli attori criminali distribuiscono i ruoli tra infezione, raccolta, elaborazione, vendita e frode finale, sfruttando infrastrutture online, canali Telegram, marketplace specializzati e pagamenti in criptovalute. La rapida identificazione del giovane di Odessa interrompe una parte rilevante della filiera, ma le indagini proseguono per individuare eventuali complici e tracciare altri flussi finanziari. La cooperazione internazionale resta decisiva perché i dati rubati si muovono più velocemente delle giurisdizioni nazionali. Per le aziende colpite, il contrasto a questi schemi richiede procedure di detection capaci di riconoscere accessi anomali anche quando password e token appaiono formalmente validi. Per gli utenti, il caso evidenzia la necessità di disconnettere sessioni attive, cambiare password dopo infezioni sospette e monitorare pagamenti e notifiche di accesso.

Il caso di Odessa mostra la centralità degli infostealer nel cybercrime

L’operazione della Cyberpolizia ucraina segna un passaggio importante nella lotta contro il furto di dati su scala industriale. Il caso di Odessa mostra come un operatore giovane possa amministrare un’infrastruttura capace di trattare decine di migliaia di account rubati e generare frodi economiche rilevanti contro un grande negozio online estero. Gli infostealer non rubano soltanto password, ma raccolgono cookie, token di sessione e dati tecnici che permettono agli attaccanti di impersonare gli utenti con elevata efficacia. Questa evoluzione rende meno sufficienti le difese tradizionali basate solo su password robuste e autenticazione a due fattori. Le piattaforme devono introdurre controlli più dinamici su dispositivo, posizione, comportamento di acquisto, sessioni multiple e variazioni improvvise degli account. Gli utenti devono invece mantenere maggiore attenzione verso download, siti sospetti, estensioni browser e dispositivi non aggiornati. Le perdite superiori a 661.000 euro in acquisti fraudolenti dimostrano che il furto di sessioni è ormai una minaccia finanziaria concreta e non solo un problema tecnico. Le indagini ucraine e americane proseguono per smantellare eventuali ramificazioni della rete e recuperare ulteriori prove. Il caso conferma che il contrasto agli infostealer richiede risposta coordinata tra forze dell’ordine, piattaforme digitali, aziende e utenti finali.