A diferencia del malware al que estamos acostumbrados, el malware sin fichero, más conocido como fileless malware, es capaz de infectar y causar daños sin dejar rastro. Su secreto, como su nombre indica, consiste en no grabar ningún tipo de fichero en el disco duro. Toda la acción la realiza “en el aire”, es decir, sobre la memoria. En el momento en el que el sistema se reinicie el virus desaparecerá, pero el daño ya estará hecho. ¿Se puede combatir a un enemigo que no deja ninguna huella? Por supuesto que sí.
¿Qué es el malware sin fichero?
El fileless malware es un tipo de Advanced Volatile Threat, o AVT, un tipo de código malicioso diseñado para no escribirse en el disco duro y trabajar desde la memoria, como por ejemplo la RAM. En general, los virus y otros tipos de malware necesitan de uno o varios ficheros para actuar sobre el sistema. Suelen ser detectados inmediatamente por los sistemas de defensa en funcionamiento, de forma que se pueden identificar y poner en cuarentena. Sin embargo, el malware sin fichero no necesita de dichos archivos en el disco duro, por lo que los sistemas de protección tradicionales no son capaces de detectarlo. Esto hace que resulte mucho más difícil defenderse de ellos, ya que este tipo de infestaciones son mucho más resilientes y difíciles de controlar.
Por otra parte, también son procesos maliciosos efímeros, ya que desaparecen en el momento en el que el sistema se resetea. Dependiendo de las variantes, podemos encontrar malware como Phasebot, cuya rutina sin fichero es capaz de amenazar la seguridad de los datos y, además, se vende en el mercado negro como un kit para confeccionar un virus sin fichero especializado en el robo de información. O Anthrax, un virus cuya naturaleza es híbrida. Su modus operandi es pasar a modo “sin fichero” una vez que el ejecutable infectado ha sido abierto. Una vez reiniciado, el virus pasa la memoria y vuelve a infectar nuevos ficheros. Poweliks, por su parte, fuerza al sistema a través de los servidores de mando y control (C&C) para generar un fraude de visitas forzadas y abriendo la puerta a nuevas posibilidades de infección. Los síntomas y los daños de estos fileless malware son muy diversos, y en todos los casos generan un grave problema a los sistemas forenses de análisis, así como a las estrategias de protección basadas en listas blancas, detección de firmas, verificación de hardware, análisis de patrones… En definitiva, los métodos clásicos de detección de malware, ya que no existen ficheros que buscar para detectarlos.
Protegerse contra el fileless malware es posible
El malware sin fichero es un concepto con varias décadas de desarrollo. Sin embargo, la evolución se ha disparado en los últimos tiempos, viendo un historial de virus de increíble potencial dañino y eficacia abrumadora. ¿Cómo podemos defendernos de la amenaza de un código que no deja huellas en el disco duro? El secreto está en el comportamiento. Monitorizar el sistema en busca de un comportamiento malicioso que alerte de procesos sospechosos es, probablemente, el método más efectivo. Gracias a la combinación de protección de última generación (EPP) y tecnologías de detección y remediación (EDR), Panda Adaptive Defense 360 es capaz de clasificar el 100% de los procesos activos en la red corporativa y detectar cualquier actividad comprometedora, en tiempo real.
De esta manera, se puede identificar un posible malware sin fichero a pesar de que no exista ningún dato escrito en el disco duro que lo delate. En 220 test de eficacia realizados con Adaptive Defense 360 se detectaron el 99,4% de los intentos de infección. En ninguno de los casos se dio un falso positivo, ni tampoco ninguna pérdida, incluyendo los potenciales virus sin fichero existentes en las pruebas Asimismo, según los datos obtenidos en el último informe de seguridad de PandaLabs, de entre nuestros clientes corporativos, el 2,67% de las máquinas protegidas mediante soluciones tradicionales sufren ataques de amenazas desconocidas, una cifra más alta en comparación con el 1,27% de las máquinas protegidas con Adaptive Defense los cuales, además, son parados en última instancia sin causar daños en el equipo.
Pero, además, es muy conveniente estar preparados para este nuevo tipo de amenazas mediante una estrategia proactiva. El malware sin fichero, aunque difícil de combatir, puede minimizarse con algunas medidas adicionales. Entre ellas, por supuesto, está la monitorización del tráfico sospechoso y el mantenimiento de los equipos, que han de estar siempre actualizados. Otras medidas convenientes son la restricción de lenguajes de scripting. Una de las principales vías explotadas por el malware sin fichero es el PowerShell de Windows. Deshabilitarla, en caso de que sea posible (por ejemplo, si los sistemas no lo emplean), es una manera de aumentar la seguridad ante ciertos ataques. Por otro lado, es vital restringir las macros para ponérselo más difícil al código malicioso. La solución, en este caso, no es eliminar todo vestigio de las macros, algo imposible, sino hacer un uso responsable mediante un control concienzudo. Y es que al final, sólo la dedicación y las buenas prácticas, unido a unas buenas herramientas conseguirán mantenernos a salvo de un malware que ni tan siquiera podemos ver.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
