Un malware che non lascia tracce su disco. Opera in memoria, usa gli strumenti del tuo stesso sistema operativo e gli antivirus tradizionali non lo vedono.
Il fileless malware e il fantasma del mondo della sicurezza informatica. A differenza di un malware tradizionale, non scarica nessun file sul tuo computer. Non installa programmi. Non crea eseguibili.
Allora come fa a funzionare? Semplice: usa gli strumenti che il tuo sistema operativo ha gia installato. PowerShell su Windows, WMI, script VBA nelle macro di Office. Strumenti legittimi, usati per scopi illegittimi.
Tutto avviene in memoria RAM. Quando spegni il computer, il malware scompare. Ma il danno e gia fatto: credenziali rubate, dati esfiltrati, backdoor installate nel registro di sistema. E l'antivirus? Non ha trovato nulla. Perche non c'era nessun file da analizzare.
Il fileless malware non e una minaccia di nicchia. E una delle tendenze piu preoccupanti degli ultimi anni:
crescita degli attacchi fileless dal 2020 ad oggi
degli attacchi avanzati nel 2025 usa tecniche fileless (Ponemon Institute)
piu difficile da rilevare rispetto al malware tradizionale basato su file
Calcola quanto potrebbe costare un attacco alla tua azienda con il Calcolatore Costo Attacco.
L'email e il vettore principale del fileless malware. Ecco i tre metodi piu comuni:
Ricevi un documento Word o Excel con una macro. "Abilita contenuto" e il gioco e' fatto. La macro non scarica un file: esegue direttamente comandi PowerShell che operano in memoria. Gli antivirus non vedono nulla perche' il documento in se' non contiene malware — contiene solo istruzioni.
Un'email con un link apparentemente innocuo. La pagina web contiene un exploit che sfrutta una vulnerabilita' del browser per eseguire codice JavaScript, che a sua volta lancia comandi di sistema. Nessun download, nessun file. Solo codice eseguito in memoria.
L'email contiene un file .lnk (collegamento Windows) o uno script .hta. Quando lo apri, lancia una catena di comandi PowerShell codificati in Base64. Il codice decodificato contatta un server remoto, scarica lo script malevolo e lo esegue direttamente in memoria — senza mai scriverlo su disco.
Scopri di piu sulle macro malware e perche sono ancora cosi diffuse.
Gli antivirus tradizionali funzionano cosi: scansionano i file sul disco e li confrontano con un database di firme note. Se trovano una corrispondenza, bloccano il file.
Il problema? Il fileless malware non crea nessun file. Non c'e nulla da scansionare sul disco. Il codice malevolo esiste solo in memoria RAM e usa strumenti legittimi del sistema operativo.
PowerShell e un tool di amministrazione Microsoft. WMI e un servizio di sistema. L'antivirus non puo bloccarli senza rompere il sistema operativo.
I comandi sono spesso offuscati o codificati in Base64. Ogni attacco puo avere una firma diversa. I database di firme sono inutili.
Il codice esiste solo in RAM. Dopo il riavvio, scompare. L'analisi forense diventa molto piu complicata. Meno prove, meno possibilita di capire cosa e successo.
Ogni singolo passaggio sembra legittimo. E la combinazione che e malevola. Un antivirus che guarda i singoli eventi non coglie il quadro completo.
Bloccare il fileless malware richiede un cambio di approccio. Non basta cercare file sospetti — bisogna analizzare i comportamenti:
Approfondisci le vulnerabilita zero-day e perche il sandboxing e la difesa piu efficace.
MailSniper e progettato per fermare il fileless malware prima che arrivi alla tua casella. Non si affida alle firme: analizza i comportamenti.
Ogni allegato sospetto viene aperto in un ambiente isolato. MailSniper osserva cosa fa: esegue macro? Lancia PowerShell? Contatta server esterni? Se il comportamento e' anomalo, blocca l'email — anche se il file in se' sembra innocuo.
MailSniper analizza i documenti Office e identifica le macro che contengono comandi di sistema offuscati, chiamate a PowerShell o connessioni a URL sospetti. Li blocca prima della consegna.
I link nelle email vengono verificati al momento del click. Se puntano a pagine con exploit kit (usati per lanciare codice fileless nel browser), vengono bloccati e l'utente viene avvisato.
Il motore di MailSniper non si basa su firme conosciute. Usa analisi euristica e machine learning per rilevare pattern di attacco mai visti prima — esattamente quello che serve contro il fileless malware.
La famiglia di software malevoli a cui appartiene il fileless malware — ma con un approccio completamente diverso.
Il vettore piu' comune: macro VBA nei documenti Office che lanciano codice fileless.
La tecnologia che apre gli allegati in un ambiente isolato per osservarne il comportamento.