Una vulnerabilita' che nessuno conosce, sfruttata prima che esista una difesa. Ecco perche' l'antivirus tradizionale non basta e cosa puoi fare per proteggerti.
Un attacco zero-daysfrutta una vulnerabilita' nel software che il produttore non conosce ancora. Il nome viene dal fatto che gli sviluppatori hanno avuto "zero giorni" per correggere il problema prima che venga usato contro di te.
In pratica: esiste una falla in un programma (il sistema operativo, il browser, un plugin di Office, un lettore PDF), un attaccante la scopre prima del produttore e la usa per entrare nei sistemi. Non c'e' patch, non c'e' aggiornamento, non c'e' firma antivirus che la riconosca.
Queste vulnerabilita' sono estremamente preziose nel mercato nero. Un exploit zero-day per Windows o iOS puo' valere centinaia di migliaia di euro. I gruppi criminali piu' sofisticati li usano per attacchi mirati ad alto valore.
L'email e' il vettore di consegna numero uno per gli exploit zero-day. Il motivo e' semplice: basta un allegato aperto o un link cliccato per attivare il codice malevolo. Ecco come funziona tipicamente:
Un ricercatore (o un criminale) trova un bug in un software diffuso — Word, Excel, Adobe Reader, Chrome. Il produttore non ne sa nulla.
Viene scritto codice malevolo che sfrutta la falla. Puo' essere un documento Word con macro nascoste, un PDF con JavaScript embedded o un file ZIP che sfrutta un parser difettoso.
L'exploit viene allegato a un'email credibile — una fattura, un curriculum, un ordine d'acquisto. L'antivirus non lo riconosce perche' la firma non esiste ancora.
L'utente apre l'allegato, il codice viene eseguito. Da qui puo' partire il download di ransomware, l'installazione di un trojan o il furto silenzioso di credenziali.
Esempi recenti:la vulnerabilita' Follina (CVE-2022-30190) in Microsoft Office permetteva l'esecuzione di codice semplicemente aprendo un documento Word. Log4Shell (CVE-2021-44228) ha colpito milioni di server. MOVEit (CVE-2023-34362) ha causato data breach in centinaia di organizzazioni. Tutti iniziati con zero giorni di preavviso.
L'antivirus classico funziona per firme: confronta ogni file con un database di minacce conosciute. Se il file corrisponde a una firma nota, lo blocca. Il problema? Per definizione, un attacco zero-day non ha una firma. Non e' nel database di nessun antivirus al mondo.
Questo crea una finestra di vulnerabilita' che puo' durare giorni, settimane o addirittura mesi — dal momento in cui l'exploit viene usato al momento in cui il produttore rilascia la patch e l'antivirus aggiorna le sue firme.
Per difendersi da cio' che non conosci, serve un approccio diverso: non cercare firme gia' note, ma analizzare il comportamento di ogni file e di ogni email.
MailSniper non si affida solo alle firme. Il motore Libraesva combina piu' livelli di difesa progettati specificamente per intercettare le minacce sconosciute:
Ogni allegato sospetto viene aperto in un ambiente isolato (sandbox) dove il suo comportamento viene osservato. Se tenta di scaricare malware, modificare file di sistema o contattare server esterni, viene bloccato — anche se nessun antivirus lo conosce.
Invece di cercare firme, MailSniper analizza cosa fa un file: apre connessioni di rete? Modifica il registro di sistema? Inietta codice in altri processi? Il comportamento anomalo viene rilevato indipendentemente dalla firma.
I link nelle email vengono riscritti e analizzati al momento del click, non solo all'arrivo. Se un link diventa malevolo dopo la consegna dell'email (tecnica comune negli zero-day), MailSniper lo intercetta comunque.
Quando un nuovo zero-day viene identificato dalla rete globale Libraesva, la protezione si propaga a tutti i clienti in minuti, non in giorni. Una difesa collettiva che ti protegge prima ancora che tu sappia che il rischio esiste.