Il termine malware (contrazione di malicious software) indica qualsiasi software progettato intenzionalmente per causare danni, ottenere accesso non autorizzato, rubare dati o compiere azioni indesiderate su un sistema informatico senza il consenso del proprietario. È la categoria operativa più ampia della minaccia informatica, e comprende tipologie distinte per meccanismo di propagazione, obiettivo e persistenza.
Tassonomia
Le principali famiglie di malware si distinguono per come si diffondono e cosa fanno una volta attivi.
Un virus informatico si replica inserendo copie di sé in file eseguibili o nel boot sector: richiede un host e si attiva quando l’utente esegue il file infetto. Un worm si propaga autonomamente attraverso la rete, sfruttando vulnerabilità dei servizi esposti, senza necessità di interazione umana. Un trojan si presenta come software legittimo per indurre l’utente a eseguirlo, nascondendo funzionalità malevole; non si replica autonomamente. Il ransomware cifra i file della vittima e richiede un riscatto in criptovaluta per la chiave di decifratura; i modelli moderni adottano la doppia estorsione, esfiltando i dati prima di cifrarli. Un rootkit nasconde la presenza del malware e mantiene un accesso privilegiato persistente modificando il sistema operativo a livello kernel, userspace o firmware. Una botnet è una rete di sistemi compromessi (zombie) controllati centralmente da un server Command & Control per eseguire attacchi DDoS, spam o cryptojacking. Lo spyware raccoglie silenziosamente informazioni — keystroke, screenshot, credenziali — trasmettendole all’attaccante.
Tecniche di evasione
I malware moderni impiegano tecniche sofisticate per eludere i sistemi di rilevamento. Il living off the land (LotL) usa strumenti legittimi del sistema operativo (PowerShell, WMI, certutil) per eseguire azioni malevole senza introdurre file propri. Il fileless malware esiste solo in memoria RAM, non toccando mai il disco. Il process injection inietta codice malevolo in processi legittimi (svchost.exe, explorer.exe). I malware polimorfici e metamorfici modificano il proprio codice ad ogni infezione per eludere le firme antivirus statiche.
Indicatori di compromissione
Gli Indicatori di Compromissione (IoC) sono evidenze forensi della presenza di malware: hash dei file malevoli, indirizzi IP e domini dei server C2, chiavi di registro create o modificate, pattern di traffico anomali. La condivisione strutturata degli IoC tramite standard come STIX/TAXII e piattaforme di Threat Intelligence (MISP) è fondamentale per la difesa collettiva.