El malware del tipo “fileless” gana popularidad entre los piratas informáticos

Escrito por Rubén Velasco

Tanto los sistemas operativos (especialmente Windows 10) como las soluciones de seguridad son cada vez más complejas, por lo que crear un virus, troyano o malware en general que no sea detectado por la heurística es cada vez más complicado. Por ello, los piratas informáticos están buscando nuevas técnicas que les permitan llevar a cabo infecciones evitando ser detectados, por lo que técnicas, como “fileless”, están ganando una importante, y preocupante, peligrosidad.

La técnica “fileless” implica llevar a cabo una infección sin utilizar ningún archivo para ello, directamente en la memoria RAM, evitando que las soluciones de seguridad puedan detectar y bloquear el ataque informático a través del fichero como tal y complicar el estudio del malware como tal al no existir un fichero físico que analizar.

Al no existir un fichero con el malware en su interior, los antivirus no pueden detectar con las técnicas habituales estas amenazas. Para llevarlas a cabo, los piratas informáticos suelen utilizar distintas técnicas, como carga dinámica de librerías en la memoria, scripts PowerShell o aplicaciones PE modificadas, entre otras, para poder ejecutarse sin levantar sospechas en los sistemas y evadir los sistemas de seguridad de los mismos.

Una vez que se carga el proceso legítimo y, aparentemente inofensivo, en el sistema, este se encarga de convertirse en un malware, o descargar y ejecutar otros procesos y ficheros que permitan la carga del malware en la memoria RAM.

CodeFork, el nuevo grupo de piratas informáticos que se suma a la moda del malware “fileless”

Hace algunas horas, la empresa de seguridad Radware hablaba sobre CodeFork, un grupo de piratas informáticos que lleva en su punto de mira más de dos años y del que conocen prácticamente todos sus movimientos.

Este grupo de piratas informáticos lleva activo desde 2015 y es el responsable de varias campañas de distribución de malware y de la creación de troyanos bastante peligrosos. Tras un corto periodo de tiempo sin actividad, en las últimas semanas este grupo de piratas informáticos ha vuelto a las andadas con una nueva campaña de distribución de malware, pero esta vez utilizando la técnica “fileless” para no dejar rastro y evitar que los antivirus puedan identificar la amenaza.

Una vez que la nueva amenaza de este grupo se instala en el sistema de víctima, los piratas informáticos de CodeFork toman el control del mismo, quien pasa a formar parte de su propia red de ordenadores infectados. Este grupo de piratas informáticos no suele llevar a cabo otros ataques mayores con estos sistemas infectados, sino que los alquila a quien los quiera para que hagan con ellos lo que quieran, desde llevar a cabo ataques DDoS como robar los datos o infectar los sistemas con otro malware más complejo (troyanos bancarios, etc).

No se ha detectado un patrón concreto en la actividad de estos piratas informáticos, por lo que se cree que no tienen un objetivo concreto, sino que la campaña maliciosa busca infectar todo tipo de ordenadores de todo tipo de personas, tanto usuarios domésticos como grandes empresas.

¿Qué opinas de la técnica “fileless” y cómo deberían abordar esta nueva forma de infección las empresas de seguridad?

Fuente > Radware

Continúa leyendo
  • Pues ya me diran como hacen. Porque significa que el malware solo puede estar en tiempo real en la memoria y ser usado durante el tiempo que está en la RAM y si esta se borra al reiniciar o apagar el ordenador dicho malware desaparece.

    Por lo tanto no puede quedar residente y tampoco se podría cargar de nuevo al inicio si no hay un archivo que lo contenga.

    Es decir este malware solo se puede conseguir introducir de dos formas:

    – A través de acceso físico al equipo.

    – A través de una vulnerabilidad permanentemente abierta y eso tarde o temprano se detecta. Por ejemplo si se introduce a través de un puerto determinado con cerrar dicho puerto se podrá resolver y no hará falta que el antivirus haga nada, porque es cosa del cortafuegos.

    Salu2

Últimos análisis

Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10