La campagna sfrutta messaggi privati inviati su Facebook che simulano una notifica ufficiale relativa al blocco dell’account. All’interno è presente un link che rimanda ad una finta pagina di supporto: qui viene comunicato all’utente che l’accesso è stato sospeso per attività sospette e che per riattivarlo è necessario cliccare sul pulsante “Appeal”.
Il pulsante, però, non ripristina nulla: avvia invece il download di uno script malevolo che installa StealC v2 sul dispositivo. Una volta attivo, il malware è in grado di rubare password, cookie, screenshot e perfino dati collegati ai portafogli di criptovalute. La sua diffusione avviene secondo il modello Malware-as-a-Service, che permette ai criminali informatici di utilizzarlo facilmente senza particolari competenze tecniche.
La prima versione di StealC è comparsa nel 2023 su forum del dark web e si è rapidamente affermata grazie alla facilità d’uso e alle funzionalità avanzate. La nuova variante, individuata nel 2025, è ancora più sofisticata e rappresenta un rischio crescente non solo per i singoli utenti, ma anche per le aziende. Come spiega Marc Rivero, Lead Security Researcher del Global Research and Analysis Team di Kaspersky:
I cybercriminali fanno spesso leva sulla paura degli utenti di perdere i propri account e sulla pressione generata dal senso di urgenza. Questo tipo di paure può spingere le persone ad agire con poca cautela, aumentando il rischio di infezioni da malware come StealC v2. È fondamentale prestare attenzione e verificare sempre l’autenticità dei messaggi prima di cliccare su qualsiasi link.
Tesla’s Dojo, a timeline