Los ataques de malware sin archivos están en aumento a medida que más hackers los utilizan para disfrazar sus actividades nefastas. Estas amenazas aprovechan las aplicaciones existentes y aprobadas de una computadora y su poder de cómputo en su contra. Esto es lo que los profesionales de seguridad se refieren como amenazas de "vivir de la tierra". El malware sin archivos es una amenaza avanzada y persistente que se presenta en forma de ataques furtivos y sin firma que pueden convertir una computadora en su contra y comprometer sistemas para robar información. Esto no deja rastro para que los profesionales de seguridad realicen un análisis forense para erradicar la causa. Las detecciones de malware sin archivos este año aumentaron un 265% en comparación con la primera mitad de 2018, según el Informe de Seguridad de Medio Año 2019 de Trend Micro. El informe también encontró que los usos más comunes del malware sin archivos se presentaron en forma de malware de minería de criptomonedas, ransomware y troyanos bancarios.

¿Qué es el malware sin archivos?

El malware típico debe ejecutarse para facilitar un ataque. El malware sin archivos no requiere ninguna descarga de archivos y no deja firma, lo que los hace significativamente más difíciles de investigar y remediar. Los hackers utilizan malware sin archivos inyectando código malicioso, scripts o bibliotecas en documentos y páginas web. Este código se conoce como LOLBins, o binarios de vivir de la tierra, y ayuda a los hackers a automatizar ataques en pruebas de penetración y software administrativo. Los LOLBins utilizan aplicaciones de software legítimas y aprobadas que existen en el dispositivo objetivo, pero las usan con intención maliciosa. Las herramientas comúnmente abusadas incluyen PowerShell, PsExec o Instrumentación de Administración de Windows (WMI). Los hackers insertan binarios, scripts y bibliotecas en documentos cotidianos y los entregan a su objetivo por correo electrónico. Alternativamente, almacenan LOLBins dentro del HTML de una página web. Una vez abierta, el script desencadena una serie de tareas que operan y lanzan herramientas administrativas que comienzan a realizar actividades maliciosas en la memoria. Estas actividades pueden incluir el despliegue de ransomware, la exfiltración de información sensible o la conexión a un servidor remoto para descargar y ejecutar una carga maliciosa. Algunos casos notables de ataques de malware sin archivos incluyen el troyano bancario de 2018 que infectó a más de 100,000 computadoras en dos meses, una serie de ataques de ransomware dirigidos a hospitales en 2019, así como una serie de solicitudes de actualización falsa de Adobe Flash que contenían malware. Dos de los ataques de mayor perfil incluyen el hackeo de 2016 del Comité Nacional Demócrata (DNC) y la brecha de datos de Equifax en 2017.

Tipos de malware sin archivos

Basado en documentos — Los macros almacenados en documentos de apariencia inocente son una de las formas más comunes de facilitar un ataque. Los macros están diseñados para automatizar acciones y ahorrar tiempo a las personas. Aunque son increíblemente útiles para muchos, los hackers pueden ocultar fácilmente un macro que contiene un script ejecutable en uno de estos documentos.

Por ejemplo, en un entorno profesional, no es raro que un empleado reciba una hoja de cálculo de Microsoft Excel de uno de sus compañeros. Puede ser fácil para un atacante enviar una hoja de cálculo de Excel maliciosa con un macro diseñado para ejecutar PowerShell y automatizar tareas como descargar un muro de pago malicioso.

Basado en la web — Los ataques que provienen de sitios en línea maliciosos funcionan de manera un poco diferente. Los ataques basados en la web utilizan una variedad de lenguajes de scripting ejecutables a través de una página web, el más común es JavaScript. Según una encuesta de Stack Overflow de 2018 de más de 100,000 desarrolladores, alrededor del 72% de los desarrolladores utilizan JavaScript.

En este escenario, una página web se carga, ejecuta y corre un comando de JavaScript para abrir PowerShell y desencadenar una serie de acciones. PowerShell se lanzará y seguirá los comandos del script, que pueden incluir conectarse a un servidor remoto y extraer información sensible o descargar y ejecutar archivos maliciosos.

¿Por qué los ataques sin archivos se están volviendo más comunes?

Aplicaciones de confianza — Debido a que el malware sin archivos se basa en aplicaciones legítimas y de confianza, hay pocas formas de prevenirlo. En lugar de descargar archivos, lo que típicamente requiere aprobación de administrador, el script malicioso se aprovecha de la aplicación nativa. Estas herramientas son secuestradas por el atacante.

El uso de herramientas legítimas permite que estos procesos ocurran en la memoria en lugar del disco duro de la computadora. Esto no deja rastro del ataque, operando únicamente en la RAM. Esto permite que el ataque opere en secreto y oculte el malware dentro de la RAM, donde es indetectable por el software antivirus tradicional.

Operación en memoria — Hay algunos beneficios del lado del ataque al ejecutar comandos en memoria, pero el más obvio es la evasión del antivirus. El software antivirus típicamente se enfoca en escanear descargas o aplicaciones recién instaladas. El malware sin archivos no requiere ninguna de estas acciones, lo que hace que la mayoría de las herramientas antivirus no detecten el ataque.

Otro beneficio es la falta de atención resultante de la detección fallida. Esto permite a los hackers ocultar malware en lugares a los que la mayoría de las herramientas de seguridad no pueden acceder. En algunos casos, la operación en memoria permite que el malware continúe ejecutándose cuando un dispositivo está apagado.

Potencialmente agnóstico al sistema operativo — Aunque los sistemas Windows son más susceptibles a los ataques sin archivos, los sistemas Mac y Linux también pueden ser susceptibles. Debido a que el malware sin archivos se basa en las herramientas nativas de una computadora, el sistema operativo del dispositivo podría volverse irrelevante.

Los ataques pueden resultar de un script abierto en una computadora Mac o ejecutar comandos desde un servidor remoto. Estos casos son mucho menos comunes que los ataques sin archivos basados en Windows, pero podrían operar de manera similar utilizando herramientas administrativas nativas de Mac y Linux en teoría.

Cómo protegerse contra el malware sin archivos

Algunos profesionales de seguridad argumentan que el malware sin archivos es indetectable en tiempo real. Pero, nada es completamente indetectable. La solución más comúnmente aceptada para protegerse contra el malware sin archivos es implementar una solución de detección y respuesta de endpoints (EDR).

Estas herramientas combinan la funcionalidad del antivirus tradicional y las soluciones de protección de endpoints con capacidades de detección de anomalías y remediación de amenazas. Si un dispositivo endpoint intenta comunicarse fuera de una red especificada o un usuario descarga un archivo que contiene un script malicioso, la solución EDR detecta y resuelve el problema desde su origen.

El análisis de comportamiento de usuarios y entidades (UEBA) es un mercado emergente de soluciones de seguridad que utiliza aprendizaje automático para desarrollar una línea base de actividades y comportamientos típicos realizados por un usuario. Si el sistema nota actividades anormales o solicitudes desde un dispositivo o ubicación extraña, se alertará a los equipos de seguridad. Además de prevenir ataques sin archivos, UEBA es capaz de detectar amenazas internas, cuentas comprometidas y brechas de datos.

Además, si estás utilizando una máquina con Windows, sería prudente deshabilitar PowerShell y WMI a menos que los hayas abierto manualmente. A menos que estés utilizando Macros en Microsoft Excel o Word, también podría beneficiarte deshabilitar Macros para esas aplicaciones.

Aparte de las soluciones técnicas, la capacitación en concienciación sobre seguridad puede ayudar a las empresas a educar a los empleados sobre cómo identificar correos electrónicos de spam y sitios web maliciosos. Consulta nuestra categoría de software de capacitación en concienciación sobre seguridad para encontrar las herramientas que tu equipo necesita para educar a tu personal y proteger tu negocio.