Se esconden en la RAM de los ordenadores personales y no dejan rastros tangibles de su paso. Los malware sin archivos, que son de diferentes tipos, ya han demostrado su eficacia y, aunque mitigarlos no es prohibitivo, muestran la creciente sofisticación de las técnicas de ataque.
Los malware sin archivos se anidan en la RAM y permanecen activos hasta que se apaga el dispositivo. No dejan rastro de su paso en los discos duros, anulando así las operaciones normales de los antivirus que, entre sus respectivas tareas, cumplen la de examinar cada archivo.
Se consideran amenazas emergentes pero, aún antes, representan la cristalización de lo que los hackers son capaces de elevar el listón de las dificultades, poniendo en crisis a quienes se ocupan de la ciberdefensa.
Sin embargo, hay precauciones que limitan el campo de acción de los malware sin archivos, como veremos a continuación.
Tabla de Contenido: Guía Malware Sin Archivos
Qué son los malware sin archivos (o Malware fileless)
Como se anticipó, los malware sin archivos se anidan en la RAM o residen dentro de procesos del sistema que de hecho son legítimos y, por lo tanto, no despiertan sospechas. Son de diferentes tipos y se distinguen por las técnicas que utilizan y los objetivos que se proponen.
Un tipo de malware sin archivos explota las vulnerabilidades de los softwares utilizados por las empresas; otro aprovecha los scripts WMI o PowerShell; otro tipo más utiliza el secuestro del registro del sistema para iniciar procesos maliciosos.
Varias familias del mismo malware que aumentan la sofisticación y la calidad de los ataques, cristalizando las crecientes capacidades de los hackers.
Para dar un ejemplo que ha quedado en la memoria de muchos, hay que remontarse a 2017, año en que la empresa estadounidense de evaluación crediticia Equifax sufrió una violación que puso en riesgo los datos de decenas de millones de usuarios.
Cómo actúan
Las técnicas de difusión mencionadas anteriormente merecen una profundización, comenzando por la habilidad con la que estos malware aprovechan las vulnerabilidades del software. Un ejemplo clásico es el uso de documentos de Office con macros infectadas.
Otra modalidad de difusión se denomina “Living off the Land” y consiste en aprovechar las funcionalidades de los sistemas operativos, como, por ejemplo, el registro del sistema o PowerShell.
La ventaja para los atacantes, también en este caso, es la posibilidad de no escribir archivos en el disco duro o de hacerlo de forma muy limitada, lo que dificulta la detección del malware.
Mitigar los malware sin archivos
Las técnicas de defensa conductual siempre son la base de cualquier estrategia de ciberseguridad. Forman parte de ellas la educación sobre el buen uso de las herramientas tecnológicas y el reconocimiento de los riesgos a los que los usuarios pueden estar expuestos en el desempeño de sus respectivas tareas. No menos importante, la defensa conductual también se basa en el uso de contraseñas robustas y en el cumplimiento de las políticas empresariales en general.
Salvaguardando la centralidad del operador humano, podemos subrayar que:
“Los malware sin archivos son códigos maliciosos que no se basan en archivos instalados localmente en el disco, sino que se ejecutan directamente en la memoria, aprovechando exploits y, a veces, también aplicaciones legítimas del sistema operativo. Esto los hace difíciles de detectar y bloquear con el uso de antivirus tradicionales”.
Por lo tanto, como medio de contraste para ayudar a identificar y detener este tipo de ataques antes de que causen daños, se recomienda utilizar una solución de seguridad que integre la protección antimalware tradicional con funcionalidades de prevención, detección y respuesta avanzadas que se basan en técnicas de defensa conductual y de análisis heurístico, es decir, en modelos de monitoreo de actividades sospechosas y anómalas de los sistemas, en lugar de la simple exploración de archivos.
Estos son algunos consejos para los usuarios empresariales y los privados:
- Limitar el uso de aplicaciones de alto riesgo, como PowerShell, que pueden ser explotadas por los malware sin archivos.
- Gestionar las macros de Microsoft Office, un medio habitual empleado por los malware sin archivos para el acceso inicial, evaluando una confirmación del usuario antes de su ejecución o la desactivación total.
- Actualizar regularmente el sistema operativo y las aplicaciones para corregir posibles vulnerabilidades que puedan ser aprovechadas por los malware sin archivos.
- Seguir buenas prácticas, evitando abrir archivos adjuntos o enlaces sospechosos, insertar dispositivos USB inseguros o descargar software de fuentes no confiables.
El hecho de que los hackers sean particularmente hábiles en perseguir sus respectivos objetivos no significa que haya que facilitarles la vida.
