Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è EKZ Stealer?
EKZ Stealer è un info stealer progettato per estrarre silenziosamente password salvate, cookie, dati di compilazione automatica e dettagli delle carte di pagamento dai browser web su computer Windows infetti. Secondo una ricerca di Arctic Wolf, è stato osservato per la prima volta a maggio 2026 come parte di una campagna rivolta a organizzazioni che utilizzano il software FortiClient EMS di Fortinet.
Per distribuire lo stealer, gli aggressori lo hanno camuffato come un aggiornamento software legittimo di Fortinet denominato FortiEndpoint_Patch.exe. Il file veniva inviato automaticamente agli endpoint gestiti attraverso configurazioni di profili VPN manomesse, il che significa che le vittime in genere non avevano idea che il malware venisse installato.
Panoramica di EKZ Stealer
Il malware prende di mira sia i browser basati su Chromium (come Chrome ed Edge) sia i browser basati su Firefox, tra cui LibreWolf, Waterfox, Pale Moon e Thunderbird. Da queste applicazioni, raccoglie credenziali di accesso salvate, cookie di sessione, dati di compilazione automatica e numeri di carte di credito salvati.
Una volta completata la raccolta, i dati sottratti vengono scritti in un file di log sulla macchina della vittima e quindi inviati a un server controllato dagli aggressori tramite una connessione HTTP. Lo stealer supporta l'uso ripetuto su più host tramite un'interfaccia a riga di comando, il che suggerisce che viene utilizzato in operazioni mirate e gestite manualmente da un operatore.
La campagna documentata da Arctic Wolf ha sfruttato CVE-2026-35616, una vulnerabilità in FortiClient EMS che consentiva l'accesso non autenticato all'API di gestione del server. Gli aggressori hanno utilizzato quel punto d'appoggio per modificare le configurazioni dei profili VPN, iniettando comandi PowerShell dannosi che venivano eseguiti automaticamente su tutti gli endpoint gestiti quando veniva stabilita una connessione VPN.
Come EKZ Stealer ruba i dati del browser
I browser basati su Chromium crittografano le password salvate utilizzando una protezione legata all'account utente Windows. EKZ Stealer aggira questo meccanismo copiandosi nella cartella dell'applicazione del browser e riavviandosi da quella posizione, il che fa sì che il browser lo tratti come un processo interno attendibile.
Da quella posizione, richiama una funzione privilegiata del browser per recuperare la chiave di decrittazione AES-256 utilizzata per proteggere le credenziali archiviate. Ciò consente allo stealer di leggere ogni password salvata nel browser senza alcun avviso per l'utente.
Evasione delle difese
EKZ Stealer adotta misure per ostacolare l'analisi e rimuovere le tracce dell'infezione. Il suo eseguibile ha un timestamp di compilazione azzerato, che rimuove il marcatore di data normalmente utilizzato dai ricercatori per determinare quando un programma è stato compilato.
Il malware veniva inoltre distribuito tramite script PowerShell codificati in Base64, che possono aggirare i filtri che scansionano alla ricerca di comandi dannosi riconoscibili. Dopo il completamento dell'esfiltrazione, lo stealer elimina il file del payload e ripulisce le voci di log correlate, cancellando le prove dell'infezione.
| Nome | EKZ infostealer |
| Tipo Di Minaccia | Stealer di informazioni, Trojan, Virus che ruba le password |
| Nomi Di Rilevamento | Avast (Win64:MalwareX-gen [Misc]), AVG (Win64:MalwareX-gen [Misc]), Combo Cleaner (Trojan.PasswordStealer.GenericKDS.6861), Kaspersky (Trojan-PSW.Win64.Agent.aea), Microsoft (Trojan:Win32/Qwexlafiba!rfn), Lista completa dei rilevamenti (VirusTotal) |
| Sintomi | Gli stealer sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, pertanto nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Metodi Di Distribuzione | Vulnerabilità software sfruttata (CVE-2026-35616), script PowerShell dannosi, falso aggiornamento software (mascherato da patch Fortinet legittima). |
| Danni | Password e informazioni bancarie rubate, furto di identità, dirottamento di account, infezioni aggiuntive, perdite monetarie. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
Le vittime di EKZ Stealer possono perdere tutte le credenziali archiviate nei loro browser, incluse le password degli account, i dati delle carte di pagamento e i cookie di sessione che possono consentire agli aggressori di accedere agli account senza bisogno della password originale. Qualsiasi account attivo nel browser al momento dell'infezione dovrebbe essere considerato potenzialmente compromesso.
La routine di pulizia dello stealer rende difficile confermare un'infezione dopo che si è verificata, e le organizzazioni colpite dalla vulnerabilità di FortiClient EMS potrebbero averlo visto distribuito su molti dispositivi contemporaneamente. EKZ Stealer dovrebbe essere rimosso dal sistema immediatamente.
Altri esempi di stealer sono DebugElevator, Evolution e Needle.
Come ha fatto EKZ Stealer a infiltrarsi nel mio computer?
Secondo Arctic Wolf, la campagna di EKZ Stealer ha sfruttato CVE-2026-35616, una vulnerabilità nel FortiClient EMS di Fortinet che consentiva l'accesso non autenticato all'API di gestione del server. Gli aggressori hanno ottenuto il controllo amministrativo e modificato le impostazioni del profilo VPN per iniettare script PowerShell dannosi nella configurazione.
Questi script venivano eseguiti automaticamente su tutti gli endpoint gestiti ogni volta che veniva stabilita una connessione VPN. Il payload era denominato FortiEndpoint_Patch.exe e per la maggior parte degli utenti e degli amministratori sarebbe apparso come un aggiornamento software Fortinet di routine piuttosto che come malware.
Al di fuori di questa campagna specifica, gli stealer raggiungono comunemente gli utenti tramite email di phishing, siti di download di software falsi, software piratato e crack software.
Come evitare l'installazione di malware?
Mantenete tutti i software aggiornati, inclusi gli strumenti di gestione della rete e i client VPN. Vulnerabilità come CVE-2026-35616 vengono corrette dai fornitori una volta scoperte, ma i dispositivi devono effettivamente ricevere e applicare tali patch per essere protetti. Scaricate gli aggiornamenti software solo direttamente dai siti web ufficiali dei fornitori.
Fate attenzione alle email inaspettate che contengono allegati o link, anche quando sembrano provenire da una fonte attendibile. Utilizzate un software antivirus affidabile e scansionate regolarmente alla ricerca di minacce. Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
SCARICA Combo CleanerScaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Menu rapido:
- Cos'è EKZ Stealer?
- PASSO 1. Rimozione manuale del malware EKZ Stealer.
- PASSO 2. Verificare che il computer sia pulito.
Come rimuovere il malware manualmente?
La rimozione manuale del malware è un compito complicato - di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.
Se desiderate rimuovere il malware manualmente, il primo passo è identificare il nome del malware che state cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:
Se avete controllato l'elenco dei programmi in esecuzione sul vostro computer, ad esempio utilizzando il task manager, e avete identificato un programma che sembra sospetto, dovreste continuare con questi passaggi:
Scaricate un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, le posizioni del Registro di sistema e del file system:
Riavviate il computer in Modalità provvisoria:
Utenti Windows XP e Windows 7: Avviate il computer in Modalità provvisoria. Fate clic su Start, fate clic su Arresta, fate clic su Riavvia, fate clic su OK. Durante il processo di avvio del computer, premete il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionate Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:
Utenti Windows 8: Avviate Windows 8 in Modalità provvisoria con rete - Andate alla schermata Start di Windows 8, digitate Avanzate, nei risultati di ricerca selezionate Impostazioni. Fate clic su Opzioni di avvio avanzate, nella finestra aperta «Impostazioni generali del PC», selezionate Avvio avanzato.
Fate clic sul pulsante «Riavvia ora». Il computer si riavvierà nel «Menu opzioni di avvio avanzate». Fate clic sul pulsante «Risoluzione dei problemi», quindi fate clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, fate clic su «Impostazioni di avvio».
Fate clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Premete F5 per avviare in Modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:
Utenti Windows 10: Fate clic sul logo Windows e selezionate l'icona di Alimentazione. Nel menu aperto fate clic su «Riavvia» tenendo premuto il tasto «Maiusc» sulla tastiera. Nella finestra «Scegli un'opzione» fate clic su «Risoluzione dei problemi», quindi selezionate «Opzioni avanzate».
Nel menu delle opzioni avanzate selezionate «Impostazioni di avvio» e fate clic sul pulsante «Riavvia». Nella finestra successiva dovrete fare clic sul tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:
Estraete l'archivio scaricato ed eseguite il file Autoruns.exe.
Nell'applicazione Autoruns, fate clic su «Options» in alto e deselezionate le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, fate clic sull'icona «Refresh».
Controllate l'elenco fornito dall'applicazione Autoruns e individuate il file malware che desiderate eliminare.
Dovrete annotarne il percorso completo e il nome. Tenete presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase, è molto importante evitare di rimuovere file di sistema. Dopo aver individuato il programma sospetto che desiderate rimuovere, fate clic con il tasto destro del mouse sul suo nome e scegliete «Delete».
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non venga eseguito automaticamente al successivo avvio del sistema), dovrete cercare il nome del malware sul vostro computer. Assicuratevi di abilitare file e cartelle nascosti prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.
Riavviate il computer in modalità normale. Seguendo questi passaggi dovreste rimuovere qualsiasi malware dal vostro computer. Tenete presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non disponete di tali competenze, lasciate la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che tentare di rimuovere il malware in seguito. Per mantenere il vostro computer al sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il vostro computer sia privo di infezioni malware, vi consigliamo di scansionarlo con Combo Cleaner Antivirus per Windows.
Domande frequenti (FAQ)
Il mio computer è infetto dal malware EKZ Stealer, devo formattare il dispositivo di archiviazione per liberarmene?
La formattazione rimuove EKZ Stealer ma cancella anche tutti i dati presenti sull'unità. Eseguire uno strumento di sicurezza affidabile come Combo Cleaner è il primo passo consigliato; la formattazione dovrebbe essere considerata solo come ultima risorsa.
Quali sono i problemi più gravi che il malware EKZ Stealer può causare?
EKZ Stealer può comportare il furto di tutte le password salvate nel browser, i cookie di sessione e i dati delle carte di pagamento. Questo può portare alla compromissione degli account, al furto di identità e a frodi finanziarie, soprattutto se le credenziali rubate includono conti bancari o account email.
Qual è lo scopo del malware EKZ Stealer?
Lo scopo di EKZ Stealer è raccogliere credenziali salvate e dati sensibili dai browser web, incluse password, cookie, dati di compilazione automatica e dettagli delle carte di pagamento, e inviare tali informazioni agli aggressori per essere sfruttate.
Come ha fatto il malware EKZ Stealer a infiltrarsi nel mio computer?
EKZ Stealer è stato osservato diffondersi tramite una campagna che sfruttava CVE-2026-35616, una vulnerabilità di FortiClient EMS. Gli aggressori hanno iniettato script PowerShell dannosi nelle configurazioni VPN, causando l'esecuzione automatica dello stealer sugli endpoint gestiti senza alcuna azione da parte dell'utente.
Combo Cleaner mi proteggerà dal malware?
Sì. Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti, inclusi gli stealer di informazioni. Si consiglia di eseguire una scansione completa del sistema per assicurarsi che nessuna minaccia venga trascurata e che il sistema sia completamente pulito.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione