¿Qué es Fileless Malware?

En algún artículo anterior, comentábamos que los virus a la "vieja usanza" ya prácticamente no existían y que en su lugar han medrado y cada día con mayor nivel de peligrosidad el llamado Malware. Un virus es normalmente un archivo aplicativo o ejecutable que realiza una serie de actividades, los más "suaves" o menos maliciosos simplemente estorban y causan errores del sistema o su inutilización. Los más severos tratan de robar contraseñas, datos, archivos comprometedores o de alto valor económico...

Los malware son una evolución técnica que evita usar archivos ejecutables estáticos como los virus puros, y en su lugar solo usa un iniciador que se encarga de usar los mismos recursos del sistema para obtener su objetivo...los más complejos usan recursos en red o internet, lo que dificulta ser detectados y/o eliminados.


De entre los malware menos conocidos por el público, pero que ya llevan años siendo un problema, son los Fileless Malware o también denominados en español Malwares Sin Archivo o Non-Malware Atacks. Los ataques más comunes de este tipo de malware se han dado hasta ahora en empresas de telecomunicaciones, organizaciones gubernamentales, bancos y en especial en cualquier sistema donde se puedan extraer datos de alto valor.


Según los expertos este tipo de malware sin archivo serán cada día más comunes y posiblemente más evolucionados.

La característica principal de este malware es que no dispone de un archivo ejecutable...de hecho no usa archivos propios, con lo que detectarlos es complicado dado que todas las herramientas de seguridad, lo primero que verifican son firmas de virus reconocibles, y al no existir un archivo como tal, no hay firma que reconocer.


La forma de entrar en un sistema es la habitual, a través de un adjunto de un correo electrónico o a través de webs infectadas (o más bien...infecciosas). Es posiblemente la única vez que usará un archivo infectado. Aun cuando hemos dicho que no usa un archivo para trabajar, sí necesita al menos disponer de datos capaces de ejecutarse o al menos de ser usados por otros ejecutables.

Lo habitual es que cuando se ejecuta el adjunto de email, este inyecte código binario y encriptado en el Registro de Windows, el cual es usado para dotarlo de utilidad y que es capaz de hacer llamadas a diferentes recursos. Los malwares de este tipo más sofisticados incluso eliminan esas entradas de registro para crear unas nuevas cuando lo necesite, con lo que su detección es aún más complicada. En otras ocasiones son capaces de instalar o inyectar código usable en el rootkit. Pero sea donde inyecta código, nunca deja rastros tras de sí que sean detectables.



La parte de código más peligrosa se instala y ejecuta en la memoria RAM. Y en ese detalle es donde radica su particularidad y su peligrosidad. La mayoría de las herramientas de seguridad no escanean la memoria RAM directamente y pasan desapercibidos.

Una vez en la RAM, usa recursos y programas del propio sistema operativo para realizar todo tipo de acciones, la mayoría de las veces a través de comandos en segundo plano, y por lo tanto invisibles para el usuarios, a través de sesiones de PowerShell, SC.exe o netsh.exe, desde donde puede robar todo tipo de datos.

Una de las formas adicionales que tiene para robar datos es desde la función Thumbnail cache del Explorador de Archivos. Esta función toma instantáneas de cada carpeta abierta y su contenido para abrirlas más rápidamente en futuras ocasiones.


Otra forma de robar datos es a través de herramientas de inyección de código en RAM que permiten capturar todos los datos que estén almacenados ahí.


La mejor forma para defendernos de este tipo de malware sofisticado es como siempre la cordura y las buenas prácticas ante una computadora...no abrir adjuntos de email, no abrir imágenes no solicitadas, etc...

Y aunque soy muy escéptico en cuanto a la efectividad de antivirus y anti-malwares, es recomendable hacer escaneos regulares con este tipo de herramientas.

Aunque es muy complicado detectarlos, algunos anti-malwares han comenzado a usar mecanismos basados en "actitudes de usuario". Hacen un historial de la forma de usar un equipo por parte de un usuario y si nota actividades no habituales, muestran una advertencia. Lo mismo sucede con las acciones que hace el sistema de forma regular, si se notan conductas inusuales como accesos a internet fuera de lo habitual, exceso de consumo en determinados recursos, accesos de login no habituales o con una frecuencia no habitual, etc... notifican de actividades sospechosas.


Todo eso suena muy bueno....y en realidad así es, pero ese tipo de control implica tener un menor rendimiento del equipo, alertas de falsos positivos, sustos...pero posiblemente esté muy justificado en redes profesionales, gubernamentales y en general en entornos donde la información sensible debe ser protegida.


Un saludo y nos encontramos en otra ocasión. Que la fuerza les acompañe y recuerden que "El Invierno se Acerca".

0 comentarios