Cos'è il malware senza file? Come funziona e come fermarlo

Le minacce informatiche esistono da decenni e disturbano i sistemi e rubano i dati in innumerevoli modi. Tuttavia, man mano che le difese di sicurezza informatica diventano più sofisticate, aumentano anche le minacce. Uno dei tipi più recenti e sofisticati è il malware senza file. A differenza del malware tradizionale che installa file dannosi sul computer, gli attacchi fileless operano direttamente nella memoria, rendendoli più difficili da rilevare e bloccare.

Negli ultimi anni, questi attacchi sono diventati sempre più comuni, prendendo di mira aziende di tutte le dimensioni e lasciando tracce minime. Se volete capire come funziona il malware fileless, perché è così pericoloso e cosa potete fare per proteggere la vostra organizzazione, continuate a leggere.

Che cos'è il malware senza file?

Il malware senza file è un tipo di codice dannoso che opera interamente nella memoria di un sistema informatico senza creare alcun file sul disco rigido. Le minacce informatiche tradizionali, come virus, trojan e worm, si basano su file per infettare e diffondersi nel sistema. 

Al contrario, il malware senza file risiede nella RAM del sistema, nel registro di sistema e in altre aree di archiviazione volatili, rendendone difficile l'individuazione con i software antivirus tradizionali.

Proteggetevi dal malware senza file con PowerDMARC!

Come funziona il malware senza file?

Il malware che non utilizza file opera entrando nella memoria del computer. Pertanto, nessun codice dannoso arriva mai sul disco rigido. Entra nel sistema in modo sorprendentemente simile a quello di altri software dannosi.

Ad esempio, un hacker può ingannare una vittima e indurla a cliccare su un link o un allegato in un'email di e-mail di phishing. Per indurre la vittima a fare clic sull'allegato o sul link, l'aggressore può utilizzare l'ingegneria sociale per fare leva sulle sue emozioni. In seguito, il malware entra nel sistema e si diffonde da un dispositivo all'altro.

Gli aggressori possono accedere a dati che possono rubare o sfruttare per ostacolare le attività di un'organizzazione utilizzando malware fileless. Il malware fileless si nasconde utilizzando strumenti di cui gli amministratori di sistema si fidano, come gli strumenti di scripting di Windows o PowerShell. 

Sono spesso inclusi nell'elenco delle applicazioni consentite da un'azienda. Il malware senza file corrompe un programma affidabile, rendendolo più difficile da rilevare rispetto al software dannoso che vive in un file separato sul disco rigido.

Fonte

Esempi comuni di malware senza file

Nel corso degli anni, diversi attacchi malware senza file hanno fatto notizia per la loro furtività e sofisticazione. Ecco alcuni degli esempi più significativi:

1. Astaroth (Guildma): Astaroth è un noto ceppo di malware senza file che prende di mira principalmente istituzioni finanziarie e organizzazioni governative in America Latina e in Europa. Si diffonde attraverso link dannosi o e-mail di phishing e utilizza strumenti Windows legittimi, come WMIC e PowerShell, per eseguire comandi direttamente in memoria. Affidandosi a utility di sistema affidabili, evita di attivare le difese antivirus tradizionali.
2. Kovter: Originariamente sviluppato come malware per la frode dei clic, Kovter si è evoluto in una minaccia completamente priva di file in grado di persistere anche dopo il riavvio del sistema. Nasconde il suo codice maligno all'interno del registro di Windows, consentendo di eseguire i comandi senza memorizzare i file sul disco. Kovter è stato utilizzato per diffondere ransomware e campagne di frode pubblicitaria, soprattutto per colpire le aziende attraverso il phishing e gli annunci dannosi.
3. PowerGhost: PowerGhost è un malware di cryptojacking che infetta le reti aziendali per estrarre criptovaluta utilizzando le risorse informatiche delle vittime. Si diffonde attraverso exploit e strumenti di amministrazione remota, sfruttando PowerShell e Windows Management Instrumentation (WMI) per l'esecuzione. La sua capacità di essere eseguito interamente in memoria gli consente di operare in modo silenzioso e di rimanere inosservato per lunghi periodi.
4. Poweliks: Poweliks è stato uno dei primi esempi noti di malware veramente senza file. Memorizza il suo payload nel registro di Windows e utilizza processi di sistema legittimi per eseguire attività dannose, come il download di ulteriore malware o il furto di dati. Le sue tecniche di furtività e persistenza hanno gettato le basi per futuri attacchi fileless.

Catena di attacchi malware senza file

Poiché il malware senza file opera in memoria e utilizza tecnologie affidabili, i software antivirus basati sulle firme e i sistemi di rilevamento delle intrusioni lo scambiano spesso per un software benigno.

Grazie alla sua capacità di operare in modo occulto, di persistere e di passare inosservato alle organizzazioni bersaglio prive degli strumenti necessari, le rende essenzialmente ignare di un'intrusione continua.

La fiducia delle aziende nelle soluzioni basate sulle firme per proteggere le reti è un fattore chiave che incoraggia le CTA a lanciare attacchi malware senza file contro le reti.

Tipi di malware senza file

Ecco come si diffonde il malware senza file, grazie a vari tipi:

1. Il malware fileless basato sulla memoria è il tipo più comune di malware senza file, che risiede nella RAM del sistema e in altre aree di memoria volatile.
2. Il malware fileless basato su script utilizza linguaggi di scripting, come PowerShell o JavaScript, per eseguire codice dannoso nella memoria di un sistema di destinazione.
3. Il malware senza file basato su macro utilizza macro incorporate in documenti, come file di Microsoft Office o PDF, per eseguire codice dannoso nella memoria di un sistema bersaglio.
4. Il malware senza file basato sul registro risiede nel registro di sistema, un database che memorizza le informazioni di configurazione del sistema operativo e del software installato.

Come rilevare le minacce informatiche senza file

L'individuazione del malware fileless è difficile perché non lascia i soliti segni di infezione. Non ci sono file sospetti memorizzati sul disco e non sono evidenti tracce di installazione. Questi attacchi vengono eseguiti direttamente nella memoria del sistema e utilizzano strumenti legittimi, come PowerShell, WMI o macro, per non essere rilevati. I software antivirus tradizionali spesso non li rilevano perché si concentrano sulla scansione dei file alla ricerca di firme note.

I moderni strumenti di cybersecurity impiegano varie strategie che si concentrano sull'analisi comportamentale, sull'attività della memoria e sul monitoraggio in tempo reale, piuttosto che sull'analisi statica dei file.

Analisi comportamentale: Questo metodo osserva il comportamento dei programmi, piuttosto che cercare specifiche firme di malware. Avverte i team di sicurezza quando rileva azioni insolite, come un documento Word che tenta di eseguire comandi PowerShell o script che cercano di stabilire connessioni di rete non autorizzate.

Scansione della memoria: Poiché il malware senza file opera nella RAM, gli strumenti di scansione della memoria ispezionano la memoria del sistema per cercare codice sospetto o processi iniettati. Ciò consente di identificare e bloccare le minacce attive solo in memoria prima che possano causare danni.

Rilevamento e risposta degli endpoint (EDR): Le soluzioni EDR monitorano gli endpoint in tempo reale e raccolgono dati sugli eventi di sistema e sull'attività degli utenti. Utilizzano analisi e informazioni sulle minacce per identificare comportamenti anomali, isolare i dispositivi infetti e avvisare tempestivamente i team di sicurezza.

L'utilizzo di questi metodi di rilevamento avanzati consente alle organizzazioni di identificare le minacce senza file anche quando non ci sono file da analizzare. Il normale software antivirus non è sufficiente a fermarle, quindi il rilevamento basato sul comportamento è ormai essenziale per la moderna sicurezza informatica.

Fasi di un attacco Fileless

Di seguito sono riportati i passi che un attaccante può compiere durante un attacco fileless:

Accesso iniziale

L'attaccante ottiene l'accesso iniziale alla rete di destinazione attraverso il phishing o altri metodi di ingegneria sociale tecniche di social engineering.

Esecuzione

L'aggressore invia il codice dannoso a uno o più computer della rete di destinazione utilizzando diverse tecniche (ad esempio tramite un allegato di posta elettronica). Il codice dannoso viene eseguito in memoria senza toccare il disco. Questo rende difficile per il software antivirus rilevare l'attacco e impedirne la riuscita.

Persistenza

Gli aggressori installano strumenti (ad esempio, script PowerShell) che consentono loro di mantenere l'accesso alla rete anche dopo aver lasciato il punto di ingresso iniziale o dopo che il malware iniziale è stato rimosso da tutti i dispositivi infetti.

Questi strumenti possono essere utilizzati per eseguire attacchi contro la stessa rete senza essere rilevati dal software antivirus, perché non lasciano tracce su disco o in memoria una volta completata l'installazione di nuovi componenti malware o l'esecuzione di altre attività che richiedono diritti amministrativi sui sistemi bersaglio.

Obiettivi

Una volta che un aggressore ha stabilito la persistenza sul computer della vittima, può iniziare a lavorare per raggiungere il suo obiettivo finale: rubare dati o denaro dai conti bancari delle vittime, esfiltrare dati sensibili o altre attività nefaste.

Gli obiettivi di un attacco fileless sono spesso molto simili a quelli degli attacchi tradizionali: rubare le password, le credenziali o accedere in altro modo ai sistemi all'interno di una rete; esfiltrare i dati da una rete; installare ransomware o altro malware sui sistemi; eseguire comandi da remoto e così via.

Come proteggersi dal malware senza file?

Ora sarete preoccupati di come salvarvi da questa grave minaccia. Ecco come potete mettervi al sicuro:

• Mantenete il vostro software aggiornato: Il malware fileless si basa sullo sfruttamento delle vulnerabilità delle applicazioni software legittime. Mantenere il software aggiornato con le patch e gli aggiornamenti di sicurezza più recenti può aiutare a impedire agli aggressori di sfruttare le vulnerabilità note.
• Utilizzare un software antivirus: Sebbene il software antivirus tradizionale non sia efficace contro il malware senza file, le soluzioni di protezione degli endpoint specializzate, come il rilevamento basato sul comportamento o il controllo delle applicazioni, possono aiutare a rilevare e prevenire gli attacchi di malware senza file.
• Utilizzare il minimo privilegio: Il malware senza file spesso richiede privilegi amministrativi per eseguire gli attacchi. L'utilizzo del principio del minimo privilegio, che limita l'accesso degli utenti al livello minimo richiesto per svolgere il proprio lavoro, può contribuire a ridurre l'impatto degli attacchi di malware fileless.
• Implementare la segmentazione della rete: La segmentazione della rete consiste nel dividere una rete in segmenti più piccoli e isolati, ciascuno con i propri criteri di sicurezza e controlli di accesso. L'implementazione della segmentazione di rete può aiutare a contenere la diffusione degli attacchi malware fileless, limitandone l'impatto sull'organizzazione.

Conclusione

Il malware fileless è un attacco informatico altamente sofisticato che rappresenta una minaccia significativa per i sistemi e le reti informatiche. A differenza del malware tradizionale, il malware fileless opera interamente nella memoria di un sistema bersaglio, rendendone difficile il rilevamento e la rimozione con i tradizionali software antivirus. 

Per proteggersi dal malware fileless, è essenziale mantenere il software aggiornato, utilizzare soluzioni di protezione endpoint specializzate, implementare il principio del minimo privilegio e impiegare la segmentazione della rete. Con l'evoluzione delle minacce informatiche, è fondamentale rimanere informati sulle ultime tecniche di attacco e adottare misure proattive per salvaguardare i nostri dati e sistemi.

La posta elettronica rimane inoltre uno dei punti di ingresso più comuni per gli attacchi di malware e phishing senza file. Proteggere il vostro dominio di posta elettronica con PowerDMARC può aiutarvi a evitare che gli aggressori si spaccino per la vostra organizzazione e lancino payload fileless attraverso e-mail dannose. Grazie all'applicazione avanzata di DMARC, SPF e DKIM, PowerDMARC vi aiuta a bloccare le minacce prima che raggiungano la vostra casella di posta.

Domande frequenti

Il malware senza file può essere rimosso?

Sì, ma è più difficile da rimuovere rispetto al malware tradizionale. Poiché viene eseguito in memoria, spesso le tracce scompaiono dopo un riavvio. Per eliminare completamente l'infezione sono necessari strumenti EDR avanzati, scansioni complete del sistema e aggiornamenti della sicurezza.

Il malware senza file è comune?

Sì. Gli attacchi senza file stanno diventando sempre più frequenti, poiché gli hacker cercano di eludere gli strumenti antivirus. Le aziende di tutte le dimensioni stanno assistendo a un aumento costante di queste minacce furtive.

Come si diffonde il malware senza file?

Spesso si diffonde attraverso e-mail di phishing, link dannosi o documenti infetti. Una volta aperto, utilizza gli strumenti integrati di Windows, come PowerShell o WMI, per essere eseguito direttamente in memoria e trasferito tra i sistemi.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Studio di caso DMARC MSP: Come PowerDMARC protegge i domini dei clienti di Amalfi Technology Consulting dallo spoofing - 17 novembre 2025
• Test di deliverability delle e-mail: Cos'è e come si usa - 17 novembre 2025
• Cos'è il malware senza file? Come funziona e come fermarlo - 14 novembre 2025