Ataques fileless em ascensão

Este novo tipo de ataque tem a capacidade de esquivar-se dos antivírus tradicionais devido a não se precisar de uma instalação de malware no dispositivo da vítima para o infetar.

Em vez disso, tomam vantagem das vulnerabilidades existentes em cada computador e utilizam ferramentas comuns do sistema, como o Windows Management Instrumentation (WMI) ou o PowerShell para inserir o código malicioso em processos que normalmente são seguros e de confiança.

Os ataques com o malware fileless têm vindo a aumentar. Como resultado, muito tem sido escrito sobre a esta forma sofisticada de atacar. Num dos casos mais recentes, o ataque consistia em infetar os computadores corporativos através da execução de ordens no sistema Windows.

Isto foi feito ao criar um objeto permanente de WMI Event Consumer o qual fazia funcionar o PowerShell, um processo de confiança e assinado pela Microsoft que já está disponível em todos os sistemas operativos Windows. Este ataque está dentro do sistema sem um ficheiro escrito no disco e sem qualquer processo malicioso ou ilegítimo a funcionar no sistema operativo.

No entanto, os cibercriminosos estão a utilizar cada vez mais códigos por que são mais rápidos e fáceis de produzir em grande escala do que os malware em arquivos. Para além de serem mais fáceis de produzir, também criam mais dificuldades para os fornecedores de segurança. Para saber mais sobre estes ataques leia o relatório da Check Point Scripting Report.

Esta ameaça foi descoberta pela solução Behavioral Guard, da Check Point. A solução deteta comportamentos e atua contra os ataques. Ao detetar um comportamento malicioso, recolhe informações forenses e identifica de forma única o comportamento do malware desconhecido e o classifica na família de malware correta. Eles que utilizam ferramentas legítimas de forma maliciosa.

Numa era em que os ataques fileless se tornam cada vez mais comuns é importante que as empresas entendam a natureza deste género de ataques e o quão complicado é para os antivírus tradicionais o detetarem. Na realidade, as proteções tradicionais de endpoint não conseguem atuar contra estes métodos sofisticados que são resistentes.