Negli ultimi due anni gli attacchi basati su DLL hijacking sono raddoppiati: come funzionano, chi ne è vittima e come proteggersi.
La tecnica del DLL hijacking è diventata una delle minacce preferite dagli attaccanti informatici. Dal 2023 ad oggi si è registrato un raddoppio dei casi documentati: applicazioni apparentemente sicure caricano librerie (.dll) da percorsi vulnerabili e vengono colpite da codice malevolo iniettato. Per l’utente è spesso invisibile: il software continua a funzionare, ma dietro le quinte un malware è in azione. Questo tipo di attacco è particolarmente insidioso perché sfrutta il comportamento normale del sistema operativo.
Come funziona un attacco DLL hijacking
In ambienti Windows, molti programmi caricano dinamicamente librerie DLL senza specificare un percorso assoluto, lasciando spazio per percorsi relativi o vicini che possono essere manipolati. Un attaccante può piantare in una directory “vicina” una DLL con nome identico a quella legittima: quando il software la cerca, carica quella manipolata, eseguendo codice malevolo. Il tutto avviene senza che l’utente installi nulla intenzionalmente. Questo tipo di “subentro” è potente perché il malware diventa parte del processo software, beneficiando dei privilegi del programma infetto. Spesso usa funzionalità per nascondersi, attivarsi solo in certi momenti e evitare rilevamenti da antivirus.
Aumento negli ultimi anni e fattori abilitanti
Dal 2023 in avanti, la crescita dei casi è legata anche all’uso massiccio di software esterni e componenti modulari. Ogni libreria condivisa può diventare punto di ingresso. Alcune aziende non isolano correttamente le directory in cui il software cerca le DLL, rendendo il sistema vulnerabile. Le campagne offensive usano DLL hijacking per distribuire ransomware, installare backdoor o catturare credenziali in ambienti aziendali. In ambiti dove software di terzi o plugin sono comuni, il rischio è più alto. Le statistiche mostrano che molti casi non vengono divulgati pubblicamente per ragioni di reputazione, ma gli incidenti segnalati sono già molti più del previsto.
Come difendersi da DLL hijacking
Le misure di protezione includono: specificare percorsi assoluti per il caricamento DLL, non usare directory ambigue, controllare permessi delle cartelle, applicare aggiornamenti e patch, usare software che monitori caricamenti sospetti. In ambienti aziendali, isolare processi, usare privilegi minimi e sistemi di protezione runtime (HIPS) aiuta a rilevare forzature. Nelle policy IT, vietare la scrittura nelle directory di sistema e loggare ogni modifica può impedire che attaccanti inseriscano librerie malevole.