Un ataque de malware sin archivos es un tipo de ataque malicioso que un pirata informático puede utilizar para aprovechar las aplicaciones ya instaladas en una computadora. A diferencia de otros ataques de malware en los que el software se instala sin saberlo en el dispositivo del usuario, los ataques de malware sin archivos utilizan aplicaciones que ya están instaladas y que se cree que son seguras. Por lo tanto, los ataques de malware sin archivos no necesitan instalar software o archivos maliciosos para iniciar un ataque.
Un ataque de malware sin archivos puede comenzar por una acción iniciada por el usuario, como hacer clic en un anuncio de banner que abre una redirección para acceder a Flash, que luego utiliza otras aplicaciones en el dispositivo. Los ataques de malware sin archivos existen en la RAM de un dispositivo y normalmente accederán e inyectarán código malicioso en las herramientas predeterminadas de Windows, como PowerShell y Windows Management Instrumentation (WMI). Estas aplicaciones confiables pueden realizar tareas del sistema para múltiples puntos finales, lo que las convierte en objetivos ideales para ataques de malware sin archivos. Por ejemplo, la violación de Equifax se ejecutó con un ataque de malware sin archivos utilizando la aplicación Apache Struts.
Los ataques de malware sin archivos suelen ser muy difíciles de prevenir y detectar, ya que el malware sin archivos no requiere la descarga de ningún archivo. Sin una firma detectable, puede eludir la eficacia de algunos servicios de protección antimalware o listas blancas.
Cómo prevenir y detectar ataques de malware sin archivos
Aunque los ataques de malware sin archivos son difíciles de prevenir y detectar, dejan algunos rastros detectables. Uno de esos rastros incluye un compromiso en la memoria del sistema de un dispositivo. Los patrones de red también deben monitorearse para buscar el dispositivo que se conecta a los servidores de botnet. Algún software antivirus como McAfee, proporcionan análisis de comportamiento que pueden detectar cuándo se ejecuta una aplicación al mismo tiempo que una aplicación como PowerShell. A continuación, el servicio puede poner en cuarentena las aplicaciones o cerrarlas.
Si un ataque de malware sin archivos accede a Microsoft Office, los usuarios pueden desactivar las funciones de macro. En los navegadores web, los usuarios pueden desactivar las ejecuciones de JavaScript para evitar ataques; sin embargo, es probable que esto impida que la mayoría de los sitios web funcionen correctamente.
Mejores Prácticas
Algunas de las mejores prácticas para evitar ataques de malware sin archivos incluyen:
- Asegurar los puntos finales del sistema.
- Supervisión del tráfico de aplicaciones y redes.
- Desinstalar aplicaciones no utilizadas o no críticas.
- Desactivación de las funciones innecesarias de la aplicación.
- Una vez que se conoce un ataque, cambiar las contraseñas del sistema.
- Reiniciar el dispositivo de punto final detendrá una violación, ya que el dispositivo solo mantendrá los datos en la RAM cuando el dispositivo esté encendido.