L'hosting di malware è un'infrastruttura usata per archiviare, distribuire o reindirizzare contenuti malevoli come payload, loader, script o reindirizzamenti di phishing. Può trattarsi di un server web compromesso, di un VPS noleggiato, di un bucket cloud, di un servizio di condivisione file o di un dominio usa e getta che indirizza le vittime alla fase successiva di un attacco. L'obiettivo è rendere raggiungibile il file malevolo mantenendo nascosto l'operatore e l'infrastruttura facile da sostituire.
È importante perché molti attacchi hanno successo grazie alla consegna, non alla sofisticazione. I team di sicurezza monitorano domini di hosting di malware, download sospetti e catene di reindirizzamento insolite per bloccare l'infezione prima dell'esecuzione. I difensori usano anche log DNS, log proxy, feed di reputazione e detonazione in sandbox per identificare i modelli di abuso. Nelle campagne reali, il livello di hosting può trasportare solo uno script che recupera un payload di seconda fase, rendendolo una parte critica della kill chain anche quando il server stesso non è la fonte finale del malware.