Malware-as-a-service (MaaS) è un modello di business criminale in cui il malware viene noleggiato, venduto o eseguito tramite un'infrastruttura condivisa. L'operatore di solito mantiene il codice, i metodi di distribuzione, i server di comando e controllo e gli aggiornamenti, mentre i clienti pagano per usare il malware nelle proprie campagne di attacco.
MaaS è importante perché abbassa il livello di competenze necessario per commettere crimini informatici e rende più facile scalare le campagne dannose. Invece di costruire gli strumenti da zero, un aggressore può abbonarsi a un pacchetto pronto all'uso che può includere loader, stealer, distribuzione di spam, supporto e nuove funzionalità quando le difese cambiano. Negli attacchi reali, MaaS compare spesso nel phishing, nel furto di credenziali, nell'abilitazione del ransomware e negli ecosistemi di infostealer che raccolgono cookie, token e password. Per i difensori, questo modello significa che le minacce possono diffondersi rapidamente ed evolversi velocemente, quindi bloccare un singolo campione raramente è sufficiente. I team di sicurezza dovrebbero concentrarsi sul rilevamento, sull'interruzione della rete, sulla revoca dei token e sul monitoraggio di infrastrutture o modelli di distribuzione ricorrenti.