Il nemico invisibile: cos'è un fileless virus e come si nasconde nel tuo pc

Home » Sicurezza Umana (Human Security / Human Factor) » Il nemico invisibile: cos’è un fileless virus e come si nasconde nel tuo pc

da Yuri Rosati | Ott 24, 2025 | Consigli per la Navigazione Sicura / Vivere il Digitale in Sicurezza, Cybersecurity, Cybersicurezza, Formazione e Consapevolezza (Security Awareness & Training), Gestione delle Minacce (Threat Management), Guide & tutorial, Malware e virus, Phishing e Truffe Online, Prevenzione Attacchi, sicurezza endpoint (edr), Sicurezza Umana (Human Security / Human Factor), Tecnologia e Innovazione | 0 commenti

Benvenuti su Maven-Web, il vostro rifugio sicuro nel labirinto della cybersicurezza. Immaginate il peggiore degli incubi informatici: un intruso invisibile che si intrufola nel vostro PC, non lascia tracce sul disco rigido e sfrutta gli strumenti di cui voi vi fidate per compiere i suoi misfatti. Non stiamo parlando di fantascienza, ma della realtà sempre più diffusa e insidiosa del fileless virus. Se i vecchi virus erano come ladri che sfondavano la porta di casa lasciando evidenti segni di scasso, gli attacchi fileless virus sono come spie che usano le vostre chiavi di riserva per entrare, confondersi con gli ospiti e rubare indisturbati. Preparatevi a scoprire il nemico invisibile che sta rivoluzionando (in peggio) il mondo della sicurezza informatica.

La minaccia invisibile: cos’è un fileless virus (malware senza file)?

Il termine “fileless virus” è in realtà un’espressione popolare e un po’ fuorviante: si tratta più correttamente di malware senza file o fileless malware. La sua caratteristica distintiva, quella che lo rende così pericoloso, è la sua capacità di operare interamente nella memoria volatile del computer, la RAM (Random Access Memory), o in altre aree non basate su file come il Registro di Sistema. Questo approccio segna un cambiamento radicale rispetto ai malware tradizionali, che per esistere e diffondersi hanno bisogno di installare un file eseguibile (come un .exe, .dll, o .bat) sul disco rigido della vittima.

Il funzionamento: vivere con ciò che si trova (living off the land)

Come fa un fileless virus a funzionare senza un file? Semplice: non porta con sé i suoi strumenti dannosi, ma sfrutta quelli che trova già installati e legittimi sul sistema operativo. Questa tecnica è nota come Living Off the Land (LOTL), ovvero “vivere con ciò che si trova in natura”.

Hai un problema di cybersicurezza? Maven può aiutarti a risolverlo o a contenerne le conseguenze. Ricevi maggiori informazioni senza impegno

Inviato il modulo, nei prossimi giorni ti ricontatteremo per fornirti maggiori informazioni

Preferisci contattarci tramite Whatsapp?

Nessun problema, clicca sull’icona qui sotto per inviare un messaggio preimpostato!

I criminali informatici adorano gli strumenti nativi di Windows per una serie di motivi:

sono già fidati: programmi come Microsoft PowerShell o Windows Management Instrumentation (WMI) sono strumenti di gestione legittimi e quasi sempre inseriti nella whitelist dei software di sicurezza.
non lasciano tracce di file: l’attacco viene eseguito direttamente da uno script in memoria, senza che alcun file maligno venga scritto sul disco.
sono difficili da bloccare: bloccare l’esecuzione di PowerShell o WMI significherebbe paralizzare anche le operazioni legittime degli amministratori di sistema.

Le aree operative del malware fileless

Un attacco con un fileless virus può risiedere in diverse aree del sistema, tutte difficili da scansionare per un antivirus tradizionale:

ram (random access memory): l’area principale in cui risiede ed esegue il codice maligno. All’arresto del computer (o al riavvio, se non è stata stabilita la persistenza), il codice in memoria viene perso, ma il malware può riattivarsi tramite altri meccanismi.
registro di sistema (windows registry): alcune varianti utilizzano chiavi del registro per memorizzare piccole porzioni di codice cifrato o per assicurarsi che il malware venga eseguito ad ogni avvio (persistenza).
strumenti nativi (powershell, wmi, ecc.): la vera “arma” è l’utilizzo di questi tool di scripting per iniettare il codice maligno nei processi di sistema legittimi.

Le fasi di un attacco fileless: anatomia di un’infezione invisibile

Capire l’anatomia di un attacco aiuta a comprendere la sua pericolosità. Generalmente, il processo si sviluppa in più fasi:

1. Infiltrazione e primo contatto

L’attacco spesso inizia con una tecnica di ingegneria sociale, come un’email di phishing ben congegnata. La vittima viene indotta a:

cliccare su un link dannoso;
aprire un allegato che innesca l’esecuzione di uno script.

Questo exploit iniziale non scarica un vero e proprio file di virus, ma esegue un codice in memoria che ha il compito di chiamare o iniettare il payload maligno.

2. Esecuzione e iniezione

Una volta avviato, il codice utilizza uno strumento di scripting (spesso PowerShell) per iniettare il codice maligno in un processo legittimo in esecuzione sulla RAM, come un browser o un’applicazione di sistema. Il codice malevolo non esiste sul disco e, dal punto di vista del sistema operativo, le operazioni dannose sono in esecuzione all’interno di un processo “pulito” e fidato.

3. Persistenza e movimento laterale

Molti fileless virus non si limitano a esistere solo fino al riavvio. Per la persistenza, possono:

modificare il registro di sistema per auto-avviarsi;
utilizzare WMI per stabilire event consumers che riattivano il codice a intervalli regolari o in risposta a un evento di sistema.

Una volta stabilita la persistenza, l’obiettivo è spesso il movimento laterale, ovvero diffondersi ad altri dispositivi nella rete per rubare dati preziosi o installare un ransomware. Esempi noti di questo tipo di minacce includono Astaroth, Purple Fox e il ransomware NetWalker, che hanno dimostrato l’efficacia di questa tecnica nel bypassare le difese perimetrali.

Come difendersi dal fileless virus: le strategie essenziali

La minaccia del fileless virus ha reso obsolete le vecchie strategie di sicurezza basate esclusivamente sulla scansione dei file. Oggi, la difesa si sposta dal disco rigido alla memoria e al comportamento del sistema.

1. Endpoint security avanzata

È fondamentale adottare soluzioni di sicurezza di nuova generazione, note come EDR (Endpoint Detection and Response), che non si limitano a scansionare i file, ma:

monitoraggio della memoria: analizzano costantemente i processi in esecuzione nella ram alla ricerca di comportamenti anomali o iniezioni di codice.
analisi comportamentale: monitorano l’uso di strumenti nativi come powershell e wmi, rilevando script sospetti o comandi insoliti anche se eseguiti da programmi legittimi.
vulnerability assessment continuo: un’analisi continuativa dello stato di sicurezza della rete e dei software permette di identificare e chiudere i punti deboli che i fileless virus potrebbero sfruttare.

2. Le buone pratiche e l’igiene di sistema

Anche la migliore tecnologia non serve a nulla senza la consapevolezza umana. Ecco le pratiche essenziali:

aggiornamenti regolari: mantenere il sistema operativo, il browser e tutte le applicazioni aggiornate per tappare le vulnerabilità che il malware sfrutta per iniettare il codice.
formazione anti-phishing: essere scettici su email e link inattesi è la prima linea di difesa, poiché il social engineering è la porta d’ingresso principale.
privilegi minimi: configurare gli account utente con il minor numero di privilegi necessari. Se il malware viene eseguito sotto un account utente limitato, il suo potenziale di danno è notevolmente ridotto.
disabilitare o limitare powershell: se non è essenziale per le operazioni quotidiane, si possono imporre restrizioni sull’uso di powershell o implementare la sua registrazione e monitoraggio rigorosi.

Conclusione: l’evoluzione della minaccia richiede un’evoluzione della difesa

Il fileless virus è la prova definitiva che la cybersicurezza non è un prodotto statico, ma una corsa agli armamenti in continua evoluzione. Dobbiamo abbandonare l’idea che un semplice antivirus basato sulle firme sia sufficiente e abbracciare un approccio che si concentra sul comportamento e sulla memoria del sistema, non solo sui file. L’invisibilità è la loro forza, ma l’attenzione ai dettagli e la tecnologia giusta sono la nostra contromossa.

Non lasciare la tua sicurezza al caso!

Non aspettare che il nemico invisibile bussi alla tua porta virtuale! Verifica oggi stesso che le tue soluzioni di sicurezza endpoint (EDR) siano pronte ad affrontare le minacce fileless e forma il tuo team per riconoscere gli attacchi di phishing. La prevenzione basata sulla consapevolezza e sulla tecnologia avanzata è l’unico modo per tenere il tuo PC e la tua rete al sicuro.

Contattaci

La tua iscrizione non può essere convalidata.

La tua iscrizione è avvenuta correttamente.

Newsletter

Abbonati alla nostra newsletter e resta aggiornato.

Inserisci NOME

Personalizza questo testo di aiuto opzionale prima di pubblicare il modulo.

Inserisci EMAIL

Indica il tuo indirizzo email per iscriverti. Es. abc@xyz.com

Accetto le condizioni generali e di ricevere le newsletter

Puoi annullare l'iscrizione in qualsiasi momento utilizzando il link incluso nella nostra newsletter.

Utilizziamo Brevo come nostra piattaforma di marketing. Cliccando qui sotto per inviare questo modulo, sei consapevole e accetti che le informazioni che hai fornito verranno trasferite a Brevo per il trattamento conformemente alle loro condizioni d'uso

Costi della pubblicità sui social media: p. 2 – Linkedin

Nel post di oggi vogliamo continuare a trattare l’argomento dei costi della pubblicità online, stavolta con specifico riferimento a LinkedIn, una piattaforma che si è affermata come un punto di riferimento per i professionisti e le aziende che desiderano promuovere i loro …Leggi di più

Costi della pubblicità sui social media: una guida per avvocati – p. 1

Nel post di oggi, esploriamo i costi della pubblicità sui social media generalisti come Facebook, Instagram, Twitter e YouTube. Per un professionista legale, costruire una presenza online solida e riconoscibile è cruciale. I social media offrono …Leggi di più

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_111473890_3	1 minute	Set by Google to distinguish users.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	Questo cookie viene impostato da Facebook per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook, dopo aver visitato il sito web.
ANONCHK	10 minutes	Il cookie ANONCHK, impostato da Bing, viene utilizzato per memorizzare l'ID di sessione di un utente e anche per verificare i clic dagli annunci sul motore di ricerca di Bing. Il cookie aiuta anche nella segnalazione e nella personalizzazione.
fr	3 months	Facebook imposta questo cookie per mostrare annunci pubblicitari pertinenti agli utenti monitorando il comportamento degli utenti sul Web, su siti che dispongono di pixel di Facebook o plug-in social di Facebook.
MUID	1 year 24 days	Bing imposta questo cookie per riconoscere i browser Web univoci che visitano i siti Microsoft. Questo cookie viene utilizzato per la pubblicità, l'analisi del sito e altre operazioni.
test_cookie	15 minutes	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tenere traccia delle visualizzazioni dei video incorporati nelle pagine di Youtube.
yt-remote-connected-devices	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.

Cookie	Durata	Descrizione
_clck	1 year	Nessuna descrizione
_clsk	1 day	Nessuna descrizione
CLID	1 year	Nessuna descrizione
SM	session	Nessuna descrizione
SRM_B	1 year 24 days	Nessuna descrizione

Il nemico invisibile: cos’è un fileless virus e come si nasconde nel tuo pc