Si celano nella memoria RAM dei computer personali e non lasciano evidenti segni del loro transito: i malware fileless, di varie tipologie, hanno dimostrato la propria efficacia e, sebbene contrastarli non sia impossibile, mettono in luce la sempre maggiore sofisticatezza delle tecniche di attacco. Ecco tutto quello che c’è da sapere a proposito dei malware fileless.
Malware fileless: ecco cosa sono e come proteggersi
I malware fileless si infiltrano nella memoria RAM e rimangono attivi fino allo spegnimento del dispositivo. Essi evitano accuratamente di lasciare tracce sui dischi fissi, sfidando così le normali operazioni degli antivirus, i quali sono incaricati di ispezionare ogni singolo file.
Questi software dannosi sono considerati minacce emergenti e rappresentano un chiaro esempio di quanto gli hacker siano capaci di elevare il livello di complessità, mettendo in difficoltà coloro che si occupano della difesa cibernetica. Tuttavia, esistono precauzioni che possono limitare l’azione dei malware fileless, come spiega Salvatore Lombardo, esperto ICT e membro dell’Associazione italiana per la sicurezza informatica (Clusit).
I malware fileless non rappresentano affatto una novità. Il primo caso risale a oltre vent’anni fa, nel 2001, quando i computer utilizzanti IIS (Internet Information Services di Microsoft) furono presi di mira. L’attacco coinvolse 359 mila server prima di essere scoperto dagli esperti di sicurezza informatica e fu denominato Code Red. Tecniche simili sono state poi impiegate negli anni successivi per altri attacchi. Nel 2015, il malware Duqu2.0 orchestrò un attacco contro una delle principali aziende specializzate in sicurezza informatica, Kaspersky Labs, sempre dalla memoria del computer bersaglio. Nel corso degli ultimi anni, lo sviluppo di tali tecniche è cresciuto costantemente, e l’impiego di malware fileless da parte dei cyber criminali è diventato sempre più diffuso, agevolato anche dalla disponibilità di strumenti che facilitano la creazione di questo tipo di software dannoso.
Come menzionato in precedenza, i malware fileless si insinuano nella RAM o si mimetizzano all’interno di processi di sistema legittimi, evitando così di sollevare sospetti. Questi software dannosi si differenziano per le tecniche impiegate e gli obiettivi che perseguono. Alcuni sfruttano le vulnerabilità dei software utilizzati dalle aziende, altri approfittano degli script WMI o PowerShell, mentre altri ancora utilizzano l’hijacking del registro di sistema per avviare processi malevoli.
Diverse varianti dello stesso malware contribuiscono a elevare la complessità e l’efficacia degli attacchi, evidenziando le sempre crescenti abilità degli hacker.
Per citarne uno degli episodi più noti, possiamo tornare al 2017, anno in cui l’azienda americana di valutazione del credito Equifax è stata oggetto di una violazione che ha compromesso i dati di decine di milioni di utenti.
Le strategie di propagazione menzionate richiedono un’analisi più approfondita, iniziando dall’abilità con cui tali malware sfruttano le falle dei software. Un esempio emblematico è l’utilizzo di documenti di Office contenenti macro dannose.
Un’altra modalità di diffusione, denominata Living off the Land, consiste nell’utilizzare le funzionalità native dei sistemi operativi, come ad esempio il registro di sistema o PowerShell.
Per gli attaccanti, il vantaggio in questo caso è la possibilità di non scrivere file su disco fisso o farlo in misura estremamente limitata, rendendo così più difficile individuare il malware.
Come funzionano gli attacchi fileless malware
Gli attacchi di malware fileless si fondano su una tipologia di software dannoso che non infetta un computer tramite un file eseguibile convenzionale. Invece, il malware coinvolto risiede interamente nella memoria del computer, sfruttando software legittimi preesistenti per condurre le sue operazioni dannose.
Il malware fileless può risultare particolarmente arduo da individuare rispetto alle forme tradizionali di malware, poiché agisce in modo subdolo ed elusivo. Sfrutta le vulnerabilità del sistema operativo o di altre applicazioni software e spesso si avvale di tecniche di ingegneria sociale per convincere gli utenti a eseguire azioni dannose.
Questo genere di software dannoso, che si insedia nella memoria di un sistema compromesso anziché sul disco rigido, può dimostrarsi ostico da eliminare anche con l’ausilio di software antivirus convenzionali. È cruciale, quindi, contrastare queste minacce attraverso misure preventive che impediscono al malware di infettare il computer.
Esistono diversi modi tramite cui un utente può incappare in un malware fileless.
Attacchi di phishing: il malware può essere diffuso tramite e-mail di phishing o tramite ingegneria sociale. L’attaccante invia un’e-mail contenente un link o un allegato dannoso che, se cliccato, installa il malware sul sistema dell’utente.
Siti Web compromessi: la visita a un sito Web compromesso può consentire l’installazione del malware attraverso l’uso di exploit kit, che sfruttano le vulnerabilità nel browser o nel sistema operativo dell’utente.
Malvertising: i criminali informatici possono sfruttare il malvertising, ossia annunci pubblicitari dannosi, per diffondere il malware fileless. Questi annunci possono comparire su siti Web legittimi e infettare il sistema dell’utente al cliccare sull’annuncio.
Vulnerabilità del software: il malware può sfruttare le vulnerabilità presenti nel software legittimo per accedere al sistema dell’utente. È fondamentale mantenere aggiornato il software per prevenire tali tipi di attacchi.
Una volta che il malware si trova nella memoria del sistema, può sfruttare ulteriori vulnerabilità per ottenere privilegi amministrativi e diffondersi all’interno del sistema. In alcuni casi, il malware può tentare di compiere azioni dannose, come il furto di dati sensibili o la crittografia dei file della vittima, richiedendo poi un riscatto per il ripristino dei dati.
Come difendersi dagli attacchi fileless malware
Le strategie di difesa comportamentale costituiscono il fondamento di ogni approccio alla sicurezza informatica. Queste includono l’istruzione sull’uso responsabile degli strumenti tecnologici e sulla consapevolezza dei potenziali rischi che gli utenti possono incontrare durante le loro attività. Inoltre, la difesa comportamentale implica l’adozione di password robuste e il rispetto delle politiche aziendali stabilite.
I malware fileless sono codici malevoli che non si appoggiano a file installati localmente su disco, ma vengono eseguiti direttamente in memoria, sfruttando exploit e talvolta anche applicazioni legittime del sistema operativo. Questo li rende particolarmente difficili da individuare e bloccare tramite i tradizionali antivirus. Pertanto, per contrastare efficacemente questi tipi di attacchi prima che possano causare danni, è consigliabile adottare soluzioni di sicurezza che integrino la protezione antimalware convenzionale con funzionalità avanzate di prevenzione, rilevamento e risposta. Tali soluzioni si basano su tecniche di difesa comportamentale e di analisi euristica, che monitorano costantemente le attività sospette e anomale dei sistemi, anziché limitarsi alla scansione dei file.
Ecco alcuni consigli da seguire per la propria difesa:
- Ridurre l’impiego di applicazioni ad alto rischio, come PowerShell, che potrebbero essere sfruttate dai malware fileless.
- Gestire attentamente le macro di Microsoft Office, comuni strumenti usati dai malware fileless per ottenere l’accesso iniziale. Si consiglia di richiedere una conferma utente prima della loro esecuzione o di disabilitarle completamente.
- Mantenere regolarmente aggiornato il sistema operativo e le applicazioni per correggere eventuali vulnerabilità che potrebbero essere sfruttate dai malware fileless.
- Adottare buone pratiche, come evitare di aprire allegati o link sospetti, di connettere dispositivi USB non sicuri o di scaricare software da fonti non affidabili.
