Il malware in esecuzione localmente è software malevolo già in esecuzione su un endpoint della vittima, come una workstation, un laptop o una sessione del browser. Poiché viene eseguito con i privilegi dell’utente, può spesso osservare dati che non lasciano mai il dispositivo: password nella memoria di processo, token di sessione, risultati di compilazione automatica, contenuti degli appunti e file decrittografati.
Questo è importante perché molte difese si concentrano sui dati a riposo, ma la compromissione dell’endpoint trasforma il runtime nel bersaglio. In pratica, il malware locale può rubare le credenziali del browser, analizzare la memoria, agganciarsi a un processo o attendere che un utente sblocchi un archivio e poi catturare i segreti in chiaro. I controlli difensivi cercano di ridurre questa finestra con browser rafforzati, il principio del privilegio minimo, la protezione dell’endpoint e una permanenza più breve del testo in chiaro in memoria. Anche una crittografia forte sul disco non aiuta se il malware può leggere il segreto dopo che è stato decrittografato per l’uso.