Quando o assunto são os ataques cibernéticos, uma das formas mais conhecidas de infecção dos computadores é via download de arquivos maliciosos (muitas vezes anexados a e-mails falsos). Mas e quando o cibercrime não envolve nenhum arquivo? Já ouviu falar em fileless malware?
A tradução do termo não poderia ser mais clara: trata-se de um malware sem arquivos, um conceito que não é novo mas tem apresentado uma alta de ocorrências nos últimos anos. Para se ter uma ideia, ainda em 2016, um estudo da CrowStrike mostrou que 8 a cada 10 ataques se utilizava dessa técnica para driblar a proteção dos antivírus, criando dor de cabeça devido à sua dificuldade de detecção.
Mas afinal, como funciona e como se proteger dessa ameaça hacker “invisível”? Para esclarecer suas dúvidas, abordamos os principais pontos sobre o cibercrime a seguir. Confira!
Fileless malware: o que é?
Em linhas simples, o fileless malware é um tipo de software malicioso que usa programas legítimos para infectar um computador. Dessa forma, a ameaça não se utiliza de arquivos e não deixa rastros, o que torna a detecção e a remoção desafiadoras.
Dito de outra maneira, esse malware aplica os recursos do próprio sistema operacional contra os usuários.
Vale destacar, aqui, que os cibercriminosos modernos dominam as estratégias que a maioria dos negócios implementam para bloquear seus ataques, o que exige atenção e a aposta em soluções de segurança sofisticadas.
De fato, os ataques de fileless malware estão em evolução constante, sendo definidos como uma ameaça volátil avançada (AVT) que muitas vezes varia de características de invasão e tipos de alvo. É importante ressaltar, ainda, que a ameaça pode permanecer na memória dos computadores infectados, combinando-se com cargas úteis adicionais para ataques futuros.
Quais são os alvos preferenciais do ataque?
Em geral, as vítimas do fileless malware são as redes corporativas de negócios de diversas áreas, com destaque para o segmento financeiro. Conforme o problema evolui, no entanto, até mesmo os computadores domésticos vêm sendo mirados.
Como a ameaça funciona na prática?
Como mencionamos, o grande “ás da questão”, em se tratando do fileless malware, é que ele atua de maneira sutil e esquiva, muitas vezes aproveitando-se de programas legítimos já instalados nos computadores.
Nesse sentido, a ameaça fica oculta no próprio sistema, sem precisar apostar em softwares maliciosos ou arquivos como portas de entrada. Durante todo o tempo em que permanecer escondida, a rede e os sistemas podem ser explorados.
A seguir, confira alguns cenários comuns de ação desse tipo de ameaça:
- Websites maliciosos que parecem legítimos: na navegação por essas páginas falsas (e que no entanto enganam devido à aparência legítima), os portais procuram por brechas no plugin Flash, o que permite a execução de códigos maliciosos na memória do browser.
- Aplicações já instaladas, como o JavaScript ou o Microsoft Word: o malware também pode infectar aplicações confiáveis e já instaladas nos computadores, “sequestrando-as”.
- E-mails de phishing e links que parecem legítimos: ao clicar nesses links maliciosos, os usuários possibilitam que os cibercriminosos carreguem códigos via scripts de forma remota, capturando e divulgando informações sensíveis e sigilosas.
- Infiltração lateral: nessa técnica de ataque, é possível distribuir a infecção para múltiplas máquinas, principalmente através de ferramentas como o Microsoft PowerShell.
- Aplicações nativas e reconhecidas no mercado, como o Microsoft PowerShell e o Windows Management Instrumentation (WMI): esses são exemplos de programas legítimos que são alvejados remotamente pelo fileless malware. Por esse motivo, há grande dificuldade de detecção por parte das soluções de segurança. No caso de ataques ao PowerShell, para se ter uma ideia, o malware incorpora scripts maliciosos em scripts legítimos do PowerShell, o que faz com que eles executem os processos normais do programa e desafiem as defesas.
Quais são as principais técnicas de fileless malware?
Injeção de códigos de memória
Como o próprio nome indica, essa técnica consiste em esconder códigos maliciosos na memória de aplicações legítimas dos dispositivos. Na prática, enquanto os processos que são críticos para a atividade do Windows estão funcionando, o malware atua ao se injetar e distribuir nesses mesmos processos.
Esse tipo de ataque sem arquivo se baseia em vulnerabilidades de browsers e programas como Flash e Java, além de campanhas de phishing para entrar e executar códigos na memória dos computadores. Nesse caso, a detecção é desafiadora, uma vez que tais programas são padronizados e de grande reputação no mercado.
Técnicas baseadas em script
De difícil identificação, essas técnicas podem não ser completamente “fileless” ou sem arquivos, mas contam com procedimentos similares de execução. Exemplos famosos são o ransomware SamSam e a Operação Cobalt Kitty, ambos ataques cibernéticos que aplicaram métodos comuns de fileless malware.
Técnica “living off the land”
Aqui, a execução do código malicioso acontece por meio da memória do computador, sem impactos para o sistema de arquivos. Com isso, os hackers deixam pouca ou mesmo nenhuma pista para análise posterior.
Vale lembrar que a living off the land é uma técnica aplicada por cibercriminosos de conhecimentos avançados, que conseguem driblar e escapar de variados controles e soluções de segurança.
Trata-se, ainda, de uma tática de “pós-exploração”, ou seja, a vítima precisa permitir a entrada prévia do malware no sistema (abrindo um PDF ou arquivos do Microsoft Office infectados, por exemplo).
Manipulação de registro do Windows
Essa técnica envolve o uso de um link ou arquivo malicioso que, quando clicados, utilizam um processo normal do Windows para executar código fileless no registro.
Exemplos da tática são os malwares Powelike e Kovter, que podem transformar um sistema infectado em um bot ao conectá-lo com anúncios e websites.
Saiba Mais: Continuous Data Protection (CDP): entenda o conceito e suas vantagens para as empresas
Como evitar o fileless malware?
- Monitorar, de forma contínua e proativa, a rede corporativa e os endpoints empresariais;
- Investir em soluções de segurança sofisticadas com alta detecção de malware (inclusive os residentes na memória);
- Manter as atualizações do sistema operacional, dos browsers e das aplicações de trabalho;
- Desinstalar aplicativos, programas e serviços se não forem essenciais para o trabalho (pode ser o caso do próprio PowerShell);
- Treinar e conscientizar toda a equipe acerca das melhores práticas de segurança no ambiente profissional, incluindo informações sobre as novas tendências em ciberameaças.
E então, gostou do conteúdo? Esperamos que tenha esclarecido suas dúvidas sobre o fileless malware, uma ameaça invisível que vem evoluindo ao longo do tempo.
Aproveite para saber mais sobre outro incidente de segurança cada vez mais comum: o vazamento de dados, suas principais causas e medidas de proteção!
Créditos da imagem de destaque: freepik
