Fileless Malware via Email: La Minaccia Invisibile

Il Malware Che Non Esiste. Ma Ti Distrugge Ugualmente.

Quando pensi a un virus informatico, immagini un file malevolo che si installa sul computer. Un eseguibile, un allegato infetto, qualcosa che l'antivirus puo' trovare e cancellare. Ma cosa succede quando il malware non esiste come file? Quando vive solo nella memoria RAM, sfrutta strumenti legittimi del sistema operativo e non lascia tracce su disco?

Benvenuto nel mondo del fileless malware. La minaccia che gli antivirus tradizionali non possono vedere.

Cos'e' il Fileless Malware

Il fileless malware e' codice malevolo che opera interamente in memoria, senza scrivere file permanenti sul disco rigido della vittima. Invece di installare un programma, sfrutta strumenti gia' presenti nel sistema — come PowerShell, WMI (Windows Management Instrumentation), o il registro di Windows — per eseguire le sue operazioni.

Pensalo cosi': un ladro tradizionale scassina la porta e lascia impronte ovunque. Un ladro "fileless" entra dalla finestra aperta, usa i tuoi stessi strumenti per svuotarti la casa, e quando se ne va non c'e' nessuna traccia del suo passaggio. Le telecamere non hanno registrato nulla perche' lui somigliava al proprietario di casa.

Perche' Cresce Cosi' Rapidamente

I numeri fanno impressione. Gli attacchi fileless sono cresciuti del 900% negli ultimi tre anni. Nel 2026 rappresentano circa il 35% di tutti gli attacchi malware rilevati a livello globale. E la percentuale continua a salire.

Perche' questa esplosione? Tre motivi.

Primo: bypassa gli antivirus. Gli antivirus tradizionali funzionano scansionando i file su disco alla ricerca di firme (signature) note. Se il malware non esiste come file, non c'e' nulla da scansionare. E' come cercare un fantasma con un metal detector.

Secondo: usa strumenti legittimi. PowerShell e' uno strumento di amministrazione presente in ogni computer Windows. Quando il fileless malware esegue comandi tramite PowerShell, dal punto di vista del sistema operativo sta succedendo qualcosa di perfettamente normale. Un amministratore di sistema che esegue script. Nulla di sospetto.

Terzo: non lascia tracce forensi. Quando il computer viene riavviato, la memoria RAM viene cancellata. Se nessuno stava monitorando attivamente i processi in memoria al momento dell'attacco, le prove scompaiono.

Come Arriva via Email

L'email rimane il vettore di consegna preferito per il fileless malware. Ecco i metodi piu' comuni.

Documenti con Macro VBA

Il classico che non passa mai di moda, ma con un twist. L'email contiene un documento Word o Excel con una macro VBA (Visual Basic for Applications). Quando la vittima abilita le macro, lo script non scarica un file eseguibile — invece, lancia un comando PowerShell che scarica ed esegue codice direttamente in memoria.

Il documento stesso non e' "infetto" nel senso tradizionale. La macro e' semplicemente un ponte verso l'esecuzione in memoria. Molti antivirus analizzano il file, non trovano nulla di malevolo nel documento stesso, e lo lasciano passare.

Link a Pagine con Exploit Kit

L'email contiene un link apparentemente innocuo. La pagina di destinazione ospita un exploit kit che sfrutta vulnerabilita' del browser o di plugin come Flash (ancora presente in alcuni ambienti legacy) per eseguire codice direttamente in memoria, senza scaricare nulla su disco.

Allegati HTML con JavaScript Offuscato

Una tecnica in forte crescita nel 2026. L'email contiene un allegato HTML che, una volta aperto nel browser, esegue JavaScript offuscato. Lo script decodifica e lancia un payload che opera in memoria, spesso sfruttando la tecnica del "reflective DLL injection" per caricare librerie malevole direttamente nello spazio di memoria di un processo legittimo.

File LNK (Scorciatoie Windows)

L'email contiene un file .lnk che sembra un collegamento a un documento. In realta', il collegamento punta a un comando PowerShell che avvia la catena di infezione in memoria. Questa tecnica e' particolarmente subdola perche' i file .lnk vengono spesso ignorati dai filtri email tradizionali.

Cosa Fa una Volta in Memoria

Una volta che il fileless malware e' in esecuzione nella memoria del computer, puo' fare praticamente tutto.

Furto di credenziali: tool come Mimikatz (eseguiti in memoria) possono estrarre password, token di autenticazione e hash NTLM direttamente dalla memoria di Windows.

Movimento laterale: usando WMI e PowerShell Remoting (strumenti legittimi), il malware si sposta da un computer all'altro nella rete aziendale senza lasciare file su nessuna macchina.

Esfiltrazione dati: i dati vengono letti dalla memoria o dal file system e inviati all'attaccante tramite canali cifrati, spesso usando protocolli legittimi come HTTPS o DNS tunneling.

Ransomware in memoria: varianti avanzate di ransomware operano interamente in memoria, cifrando i file su disco senza mai scrivere un eseguibile. Al termine della cifratura, scrivono solo la nota di riscatto.

Perche' l'Antivirus Tradizionale Non Basta

Mettiamola in termini semplici. L'antivirus tradizionale e' un guardiano che controlla ogni pacco che entra in casa. Apre la scatola, guarda dentro, confronta il contenuto con una lista di oggetti pericolosi. Se trova una corrispondenza, blocca il pacco.

Il fileless malware non entra come pacco. Entra come una telefonata che convince qualcuno gia' dentro casa a fare qualcosa di pericoloso. Il guardiano alla porta non vede nulla perche' non c'e' nessun pacco da controllare.

Per fermare il fileless malware servono tecnologie diverse.

Come il Sandboxing Ferma il Fileless Malware

Il sandboxing e' la risposta piu' efficace. Funziona cosi': invece di analizzare il file statico (che sembra innocuo), il sandbox esegue il file in un ambiente virtuale isolato e osserva cosa succede.

Quando il documento Word con la macro VBA viene aperto nel sandbox:

1. La macro si attiva
2. PowerShell viene lanciato
3. Il comando tenta di scaricare ed eseguire codice in memoria
4. Il sandbox registra tutto questo comportamento
5. Verdetto: malevolo, anche se il documento in se' non contiene firme note

E' come testare una lettera sospetta in una stanza blindata prima di consegnarla al destinatario. Se la lettera esplode, la stanza la contiene. Se e' innocua, viene consegnata.

MailSniper integra un motore di sandboxing avanzato che analizza ogni allegato in un ambiente isolato. Non si limita a guardare il file — lo esegue, osserva il comportamento e decide in base a cio' che il file fa, non a cio' che sembra.

Difese Aggiuntive Contro il Fileless Malware

Oltre al sandboxing, ecco le misure che riducono drasticamente il rischio.

Disabilitare le macro VBA di default. In Microsoft 365 e' possibile bloccare l'esecuzione delle macro nei documenti scaricati da internet. Questa singola configurazione elimina uno dei vettori piu' comuni.

Monitorare PowerShell. Abilitare il logging avanzato di PowerShell (Script Block Logging e Module Logging) permette di registrare ogni comando eseguito. Se PowerShell lancia un comando codificato in Base64 alle 3 di notte, qualcosa non va.

Segmentare la rete. Se un computer viene compromesso, la segmentazione di rete limita il movimento laterale del malware. Non puo' raggiungere il file server se non ha accesso al segmento di rete corretto.

Aggiornare sempre. Molti exploit usati dal fileless malware sfruttano vulnerabilita' note per le quali esistono gia' patch. Mantenere sistemi e software aggiornati chiude queste porte d'ingresso.

Il Ruolo del Gateway Email

Il punto di ingresso del fileless malware via email e' il momento piu' vulnerabile — ma anche il piu' controllabile. Un gateway email professionale come MailSniper agisce prima che l'email raggiunga la inbox:

• Sandboxing: ogni allegato viene detonato in ambiente isolato
• Analisi delle macro: le macro VBA vengono estratte e analizzate senza eseguire il documento
• URL rewriting: i link vengono riscritti per analisi al momento del click
• Filtraggio allegati: file .lnk, .iso, .vbs e altri formati ad alto rischio vengono bloccati di default
• Analisi comportamentale AI: pattern di attacco fileless noti vengono riconosciuti anche in varianti nuove

Il risultato? Le email che trasportano fileless malware vengono bloccate prima che il dipendente possa aprirle. Niente click, niente macro, niente PowerShell, niente infezione.

Il Fileless Malware Non e' Invincibile

Sembra una minaccia impossibile da fermare: non esiste come file, usa strumenti legittimi, non lascia tracce. Ma ha un punto debole critico: deve arrivare alla vittima. E il modo piu' comune per farlo e' l'email.

Se blocchi l'email malevola al gateway, l'intera catena di attacco si spezza. Non importa quanto sia sofisticato il payload in memoria se quel payload non viene mai eseguito.

Prossimi passi:

• Scopri come il sandboxing protegge la tua azienda
• Proteggiti dal ransomware via email — incluse le varianti fileless
• Prova MailSniper gratis per 30 giorni — il sandbox analizza ogni allegato in tempo reale