El malware sin archivos es una forma popular para que los ciberdelincuentes se infiltren en los sistemas sin ser detectados. También conocido como no malware, zero-footprint o macro-ataque, se diferencia del malware tradicional en que no necesita instalar software malicioso para infectar la computadora de la víctima.
En cambio, explota las vulnerabilidades existentes en el dispositivo: el malware anida en la memoria RAM de la computadora y usa herramientas comunes del sistema para inyectar código malicioso en procesos normalmente seguros y confiables, como javaw.exe o iexplore.exe.
Técnicas de ataque y cómo funciona el malware sin archivos
Hay muchas técnicas que los ciberdelincuentes pueden usar para lanzar un ataque de malware sin archivos. Por ejemplo, a través de banners publicitarios maliciosos, los llamados "malvertising". Cuando los usuarios hacen clic en el anuncio, son redirigidos a un sitio web malicioso que parece legítimo y carga Flash, que lamentablemente tiene vulnerabilidades. Flash usa la herramienta Windows PowerShell para ejecutar comandos desde la línea de comandos mientras se ejecuta en RAM. Luego, PowerShell descarga y ejecuta código malicioso desde una botnet u otro servidor comprometido, luego de lo cual el código busca datos para enviar al atacante.
Dado que el malware sin archivos no requiere la descarga de ningún archivo, es bastante difícil de detectar, bloquear y eliminar. No tiene un código o firma identificable que permita que los programas antivirus tradicionales lo detecten. Tampoco tiene un comportamiento específico, por lo que los escáneres heurísticos no pueden detectarlo. Además, debido a que el malware explota las vulnerabilidades de las aplicaciones aprobadas que ya están en el sistema, también puede anular la protección proporcionada por la lista blanca de aplicaciones, un proceso que garantiza que solo las aplicaciones aprobadas se instalen en una computadora.
Signos de malware sin archivos
Sin embargo, reiniciar su computadora puede detener una brecha de seguridad de malware sin archivos. Esto se debe a que la RAM solo conserva sus datos cuando la computadora está encendida. Una vez que se apaga, la infección ya no está activa. Sin embargo, los atacantes aún pueden usar esta vulnerabilidad para robar datos de la computadora o instalar otras formas de malware para agregar persistencia a la vulnerabilidad. Por ejemplo, un pirata informático puede configurar secuencias de comandos para ejecutar en el reinicio del sistema para continuar el ataque.
Si bien no hay nuevos archivos instalados o un comportamiento típico que haga que un ataque de malware sin archivos sea obvio, hay algunas señales de advertencia a tener en cuenta. Uno de ellos son los patrones y rastros de red inusuales, como la conexión de la computadora a los servidores botnet. Uno debe buscar signos de brechas de seguridad en la memoria del sistema, así como otros artefactos que el código malicioso podría haber dejado a su paso.
Mejores prácticas de protección contra malware sin archivos
Aquí hay algunos pasos que las empresas pueden tomar para evitar la infección con Fileless Malware o limitar el daño en caso de una infección:
- Sin funciones y aplicaciones innecesarias: los servicios y las funciones del programa que no se utilizan deben desactivarse. Además, las empresas deben desinstalar las aplicaciones que no se utilizan o no son necesarias para el trabajo.
- Privilegios de reserva: las organizaciones deben limitar los privilegios para los usuarios administradores y otorgar a los usuarios solo los permisos necesarios para realizar su trabajo.
- Actualizaciones regulares de software: todo el software debe estar siempre actualizado y actualizado periódicamente.
- Supervisión del tráfico de red: el tráfico de red debe supervisarse y los registros de actividad deben comprobarse en busca de anomalías.
- Protección de puntos finales: las organizaciones deben asegurarse de contar con protección de puntos finales y asegurar cada uno de estos dispositivos, incluidos los dispositivos remotos y móviles, para proteger su red.
- PowerShell: también se deben considerar las mejores prácticas para usar y proteger PowerShell.
- Higiene de contraseñas: las contraseñas deben cambiarse después de que se haya identificado y limpiado con éxito una infección de malware sin archivos.
- Capacitación de los empleados: la capacitación exhaustiva en seguridad del usuario final también puede contribuir en gran medida a prevenir infecciones de malware sin archivos.
El malware sin archivos está fácilmente disponible para los delincuentes porque a menudo ya está incluido en los kits de explotación. Además, algunos piratas informáticos también ofrecen ataques de malware sin archivos como servicio. El malware se basa en el sigilo en lugar de la persistencia, aunque su flexibilidad para emparejarse con otro malware le permite hacer ambas cosas. Por lo tanto, las organizaciones deben implementar una estrategia de seguridad que incluya un enfoque de múltiples capas de las mejores prácticas, soluciones de seguridad y capacitación de los empleados para combatir de manera efectiva estas amenazas.
[ID de starbox = 6]