Negli ultimi due anni, gli attacchi informatici basati sulla tecnica del DLL hijacking sono raddoppiati. A lanciare l’allarme è Kaspersky, che ha osservato un incremento significativo di questa minaccia nel biennio 2023-2025, in particolare in campagne mirate contro aziende e organizzazioni in Europa, Asia e Africa.
Il DLL hijacking (Dynamic Link Library hijacking) è una delle strategie preferite dai cybercriminali per infiltrarsi nei sistemi sfruttando un meccanismo legittimo di Windows: il caricamento dinamico delle librerie. In pratica, un programma sicuro viene indotto a caricare una libreria malevola invece di quella originale. Il risultato è che il codice dell’attaccante viene eseguito come se fosse parte del software affidabile, spesso senza destare sospetti.
Numero di attacchi DLL hijacking e la variazione tra il 2023 e 2025. Fonte: Kaspersky Security Network
Tecnica subdola
Questi attacchi sono difficile da individuare anche per gli antivirus tradizionali, e oggi utilizzata da gruppi APT e da creatori di malware come stealer, loader e trojan bancari. Tra le varianti più diffuse c’è il DLL sideloading, che sfrutta la presenza di file legittimi per avviare processi malevoli in modo silenzioso. Per contrastare questa escalation, Kaspersky ha integrato nel proprio SIEM (Security Information and Event Management) un nuovo sottosistema basato su intelligenza artificiale, progettato per monitorare in tempo reale tutte le librerie caricate dai processi. L’obiettivo è individuare comportamenti anomali che possano indicare un tentativo di hijacking, anche quando il file dannoso non è ancora catalogato nei database antivirus.
Secondo Kaspersky, il nuovo modello di machine learning ha già dimostrato la sua efficacia: è stato infatti in grado di rilevare e bloccare un attacco del gruppo APT ToddyCat nelle fasi iniziali, evitando danni alle aziende prese di mira. Lo stesso sistema ha anche identificato tentativi di infezione legati a un infostealer e a un loader dannoso.
“Stiamo assistendo a un aumento costante degli attacchi DLL hijacking, che sfruttano la fiducia dei sistemi nei propri componenti,” spiega Anna Pidzhakova, Data Scientist del Kaspersky AI Research Center. “Questa tecnica è difficile da rilevare e l’intelligenza artificiale si sta dimostrando fondamentale per individuare comportamenti anomali e proteggere i sistemi critici.”
Per approfondimenti
Sul portale Securelist Kaspersky ha pubblicato due approfondimenti tecnici: il primo spiega come è stato sviluppato il modello di machine learning per individuare gli attacchi di DLL hijacking, mentre il secondo descrive l’integrazione della tecnologia nella piattaforma SIEM.
L’uso dell’AI nei sistemi di difesa informatica segna un passaggio decisivo nella lotta alle minacce più sofisticate: le tecniche di attacco si evolvono rapidamente, e solo un approccio automatizzato e adattivo può garantire tempi di risposta adeguati. Il messaggio di fondo è chiaro: anche una libreria apparentemente innocua può nascondere un punto d’ingresso critico.
*Illustrazione progettata da Securelist
The post DLL hijacking: raddoppiano gli attacchi first appeared on Hackerjournal.it.