Come Windows protegge i dispositivi dai malware keylogger e non solo

I dispositivi che eseguono Windows 11 e Windows 10 hanno una protezione integrata contro malware e software malevolo tramite Microsoft Defender Antivirus. Esso può rilevare e bloccare keylogger, screen scraper e altri tipi di minacce, le quali possono tracciare, rubare o danneggiare i dati presenti sui dispositivi.

Cos’è un malware keylogger e un malware screen scraper?

I keylogger, noti anche come “registratori di tasti”, possono registrare i tasti premuti sulla tastiera, gli screenshot e i dati degli appunti. Gli screen scraper, invece, sono programmi malevoli, i quali catturano di nascosto screenshot e/o registrano video di ciò che viene mostrato sullo schermo del dispositivo. Questa capacità del malware può esistere indipendentemente da quella di keylogging. In entrambi i casi, i dati rubati vengono inviati a un attaccante tramite la rete.

Cos’è Microsoft Defender Antivirus e cosa fa?

Microsoft Defender Antivirus è incluso in tutte le versioni di Windows 11 e Windows 10 ed è il componente di protezione di nuova generazione di Microsoft Defender for Endpoint, il quale offre capacità aggiuntive come rilevamento e risposta dagli endpoint e indagini automatizzate. Microsoft Defender Antivirus utilizza l’apprendimento automatico (machine learning), l’intelligenza artificiale e il Microsoft Intelligent Security Graph basato sul cloud per bloccare i malware a colpo d’occhio e in termini di millisecondi. Analizza inoltre i comportamenti e gli alberi dei processi delle minacce, e può fermare i malware senza file e gli attacchi eseguiti dall’uomo.

Come funziona la protezione?

La protezione dai malware, attiva per impostazione predefinita in Windows 11 e Windows 10, inizia nel momento in cui si accende il dispositivo. Windows utilizza Secure Boot, Trusted Boot e Measured Boot per verificare il firmware, il bootloader, il kernel, i driver e il software anti-malware prima di caricarli. Queste tecnologie aiutano a prevenire che un malware manometta la sequenza di avvio e comprometta il dispositivo prima che il software Microsoft Defender Antivirus si avvii.

Una volta avviato, Microsoft Defender Antivirus sfrutta più motori di rilevamento per bloccare un malware tempestivamente. Il blocco comportamentale e il contenimento in Microsoft Defender for Endpoint possono identificare i malware senza file e fermare le minacce, comprese quelle già in esecuzione.

Cosa succede se non si utilizza Microsoft Defender Antivirus?

Gli utenti possono considerare di migliorare la sicurezza sui propri dispositivi personali “non gestiti” con i Copilot+ PC, i quali, come i Secured-core PC, introducono un livello di sicurezza avanzata per i dispositivi commerciali e consumer. I Secured-core PC hanno funzionalità di sicurezza supportate dall’hardware e abilitate per impostazione predefinita senza alcuna azione richiesta dall’utente, nonché Microsoft Security Baseline (un gruppo di impostazioni implementate da Microsoft basate sui feedback degli esperti in sicurezza). Oltre ai livelli di protezione in Windows 11, i Secured-core PC forniscono protezioni firmware avanzate e una root-of-trust dinamica per la misurazione utile a fornire protezione dal chip al cloud. Maggiori info sulle nuove funzionalità di sicurezza di Windows 11 a questo link.

Cosa succede se il malware non viene rilevato e tenta di disabilitare Microsoft Defender Antivirus?

La protezione antimanomissione, inclusa in Windows 11 e Windows 10 e attivata per impostazione predefinita, protegge alcune impostazioni di sicurezza (come la protezione da virus e minacce) dall’essere disattivate o modificate da un malware, il che aiuta a proteggere il sistema dai keylogger.

Cosa succede se un utente, con diritti di amministratore sul proprio computer, disattiva la scansione in tempo reale?

Microsoft Defender SmartScreen può bloccare i download di malware prima che arrivino sul sistema anche se la scansione in tempo reale di Microsoft Defender Antivirus è disattivata. I motori di rilevamento aggiuntivi di Microsoft Defender for Endpoint, in questo caso, possono ancora identificare i keylogger.

Come faccio a sapere che c’è protezione contro i keylogger se non ho mai visto un rilevamento?

Per mostrare come Microsoft Defender for Endpoint rileva e blocca le minacce, troverete di seguito tre esempi di keylogging in cui due protezioni integrate in Windows 11 e Windows 10 sono state disabilitate:

  • Microsoft Defender Antivirus, il quale scansiona i malware su disco e in memoria.
  • Microsoft Defender SmartScreen, il quale aiuta a bloccare i download di malware, inclusi i download da browser di terze parti e client di posta elettronica.

Esempio 1 di Keylogger

Oltre al keylogging, questo keylogger ha eseguito alcune attività di esplorazione, note anche come attività di ricognizione. Sono state rilevate entrambe le tipologie di attività.

Esempio 2 di Keylogger

In questo esempio, un keylogger ha generato altri file. Microsoft Defender for Endpoint è stato in grado di rilevare i comportamenti sospetti.

Esempio 3 di Keylogger

Qui, al keylogger è stato impedito di funzionare già la prima volta. Anche quando il keylogger è stato esplicitamente autorizzato a funzionare dall’utente finale (con diritti di amministratore), approvando l’esecuzione, il keylogger non è stato in grado di catturare i tasti premuti e gli screenshot a causa di altri meccanismi di prevenzione.

L’immagine qui sotto mostra il rilevamento dei tre keylogger precedenti. Sebbene la protezione in tempo reale fosse stata disabilitata in precedenza, Microsoft Defender Antivirus viene mostrato come origine del rilevamento perché l’EDR (Enhanced Detection and Response) in Microsoft Defender for Endpoint può richiedere che Microsoft Defender Antivirus esegua la scansione dei file coinvolti. Maggiori info qui su Rilevamento e risposta degli endpoint in modalità blocco.

La protezione integrata in Windows 11 e Windows 10 aiuta a proteggere i dispositivi dai malware keylogger impedendo loro di entrare nel sistema e, quindi, di funzionare.

Per una protezione più efficace, Microsoft suggerisce anche l’uso di Microsoft Defender for Endpoint. Quando la protezione integrata e Microsoft Defender for Endpoint vengono utilizzati insieme, si ottiene una protezione migliore coordinata tra i prodotti e i servizi Microsoft.

Approfondimenti