Attacchi DLL hijacking raddoppiati, l’IA nuova arma di difesa

Negli ultimi due anni, gli attacchi di tipo DLL hijacking sono raddoppiati, secondo i dati diffusi da Kaspersky. Questa tecnica sofisticata, chiamata anche Dynamic Link Library hijacking, consente ai cybercriminali di sostituire una libreria legittima con una dannosa, infiltrandosi così nei sistemi senza destare sospetti.
Viene sfruttata da APT (Advanced Persistent Threat), trojan bancari, stealer e altri malware capaci di compromettere infrastrutture critiche e aziende di diversi settori.

Come funziona il DLL hijacking

In termini semplici, un’applicazione legittima viene indotta a caricare una DLL malevola invece di quella originale. Una volta caricata, la libreria infetta permette l’esecuzione di codice dannoso che può rubare informazioni, installare altri malware o compromettere la rete aziendale.
Le varianti di questa tecnica – come il DLL sideloading – si sono diffuse in modo capillare, colpendo aziende in Russia, Africa, Corea del Sud e molte altre regioni.

Kaspersky SIEM si potenzia con l’intelligenza artificiale

Per contrastare questa escalation, Kaspersky ha introdotto una nuova versione di Kaspersky SIEM dotata di funzionalità di intelligenza artificiale dedicate al rilevamento automatico di attacchi di tipo DLL hijacking.
Il nuovo sottosistema AI analizza in tempo reale tutte le librerie caricate dai processi, identificando comportamenti sospetti e anomalie che potrebbero indicare la presenza di codice manipolato.

AI contro gli attacchi: un caso concreto

L’efficacia del nuovo sistema è già stata dimostrata: l’intelligenza artificiale di Kaspersky SIEM è riuscita a identificare e bloccare un attacco del gruppo APT ToddyCat in fase iniziale, impedendo danni alle aziende prese di mira.
Il modello AI ha inoltre rilevato tentativi di diffusione di infostealer e loader malevoli, mostrando la capacità del sistema di prevenire incidenti complessi prima che si verifichino.

L’intelligenza artificiale come baluardo di sicurezza

Secondo Anna Pidzhakova, Data Scientist del Kaspersky AI Research Center, “l’intelligenza artificiale è ormai essenziale per restare al passo con minacce in costante evoluzione”.
La difficoltà nel rilevare un DLL hijacking risiede nel suo comportamento mimetico: il codice malevolo sfrutta processi affidabili, rendendo inefficaci i controlli tradizionali. L’IA, invece, è in grado di individuare pattern anomali e bloccare gli attacchi in tempo reale, offrendo un nuovo livello di difesa alle aziende.

Verso una cyber resilience potenziata

Kaspersky ha pubblicato su Securelist due approfondimenti: uno dedicato allo sviluppo del modello di machine learning alla base del rilevamento, e l’altro sull’integrazione di questa tecnologia all’interno della piattaforma SIEM.
Il risultato è una sinergia tra analisi automatizzata e risposta tempestiva, in grado di elevare gli standard di cyber resilience in un panorama minaccioso in costante mutamento.

Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook