¿Qué es el malware sin archivos y cómo puedes protegerte contra estos ataques? | EasyDMARC

¿Qué es el malware sin archivos y cómo puedes protegerte contra estos ataques?

12 min de lectura

Los crímenes cibernéticos siempre han representado una amenaza para las empresas y organizaciones, especialmente para todas aquellas que dependen de presencia en línea y plataformas tecnológicas para la transición de información. El costo global de los delitos informáticos alcanzó los 6 billones dólares solo en el 2021, lo cual es una estadística aterradora y que además deja en evidencia lo necesaria que es la creación de conciencia corporativa sobre asuntos relacionados al malware, phishing, estafa, y otros eventos similares. 

Es por eso que en esta publicación de blog vamos a analizar uno de los tipos de malware más comunes que afecta a los usuarios en la actualidad: el malware sin archivos.

Antes de entrar en materia, cabe formularse la interrogante: ¿Qué es el malware? Se define como malware a todo software malicioso usado para ingresar a un sistema y robar o interceptar datos esenciales.

Sigue leyendo y podrás conocer cuáles son los tipos de malware sin archivos, algunos ejemplos y las formas más eficientes de detectarlo y prevenirlo.

¿Qué es el malware sin archivos?

El malware sin archivos es un software malicioso que no requiere de ningún archivo para infiltrarse en tu sistema. Esto representa una situación atípica, sobre todo si lo comparamos con otros tipos de malware, tales como los virus, ya que básicamente, los atacantes ocultan malware sin archivos dentro de programas genuinos para llevar a cabo sus acciones funestas.

En líneas generales, podemos decir que los ataques de malware sin archivos tienen como objetivo las ganancias financieras o perjudicar la reputación de una empresa, esta modalidad de ataque representa un reto complejo, ya que es difícil eliminar el malware sin archivos, ya que está basa sus mecanismos en el uso de memoria, lo que significa que no tiene ninguna firma tal como el malware basado en archivos, como el adware.

¿Cómo funciona el malware sin archivos?

Llegados a este punto, vamos a ver con detalle cómo funciona el malware sin archivos.

El malware sin archivos opera en la memoria del sistema, sin necesidad de almacenarse en un archivo ni instalarse en tu dispositivo. La mayoría de los piratas utilizan Microsoft Windows PowerShell, una herramienta usada para automatizar tareas, con la sola meta de ejecutar acciones maliciosas.

Dado que no se basa en archivos, sino en el uso de memoria, el malware sin archivos no requiere que un pirata informático cargue código malicioso en el sistema de la víctima; lo que requiere en cambio, es que los actores maliciosos exploten las vulnerabilidades de las herramientas nativas para poder ejecutar comandos, secuencias de código, entre otras funciones que se ejecutan en la memoria.

Este tipo de malware generalmente ingresa a través de un correo con phishing, que solicita a los usuarios hacer clic o descargar un enlace o archivo adjunto malicioso, también puede ser inyectado o incrustado directamente en aplicaciones ya instaladas u otros programas legítimos, generalmente su instalación pasa desapercibida para las herramientas de seguridad tradicionales ya que estas normalmente analizan los archivos, pero no la memoria, cuando buscan anomalías que indiquen la presencia de malware.

Etapas

Estas son las cuatro etapas de un ataque de malware sin archivos.

Etapa 1: los piratas informáticos obtienen acceso remoto

Al igual que otros tipos de ataques cibernéticos, el pirata informático ejecuta un exploit de malware sin archivos con tan solo establecer un punto de apoyo en el sistema de la víctima.

Etapa 2: se obtienen credenciales

Después de obtener acceso remoto, los criminales cibernéticos prueban diversos trucos para robar las credenciales del entorno que han comprometido, lo cual les ayuda a moverse libremente en el sistema y utilizar malware sin archivos para cumplir sus objetivos.

Etapa 3: mantener la persistencia

A continuación, los delincuentes informáticos procederán a modificar tus configuraciones para crear puertas traseras y poder volver al entorno que han invadido sin repetir los pasos anteriores.

Etapa 4: explotación y escape de datos

En la etapa final del evento, los atacantes proceden a robar o interceptar datos comprimidos mientras se preparan para la filtración de estos, pudiendo incluso cifrar datos con el fin de llevar a cabo un ataque de ransomware.

Ejemplo de malware sin archivos

La Operación Cobalt Kitty es uno de los mejores ejemplos de ataques con malware sin archivos que se ha llevado a cabo, en este evento, los piratas informáticos pusieron bajo su mira a una empresa asiática con el fin de robar información comercial patentada mediante el uso de correos con phishing, los delincuentes usaron PowerShell para atacar a más de 40 computadoras y redes para abrirse paso en el sistema.

¿Cuáles son los tipos de malware sin archivos?

Los actores maliciosos han ido evolucionando en sus esfuerzos, volviéndose más sofisticados y organizados en la planificación y ejecución de sus ataques de malware sin archivos usando diversos tipos de vectores, aquí discutimos algunos de ellos.

Kits de explotación

Los exploits son códigos, comandos o datos, que se denominan de forma colectiva como kits de exploits y son usados por piratas informáticos para detectar y explotar vulnerabilidades en un sistema operativo o software.

Este es un método bastante común para intentar consolidar ataques de malware sin archivos, ya que es posible llevar a cabo inyecciones directas a la RAM (memoria de acceso aleatorio). Al igual que con los gusanos informáticos, los piratas informáticos tienen las habilidades para automatizar este proceso.

Los actores maliciosos atraen a sus víctimas a través de correos electrónicos que usan principios de ingeniería social o phishing con enlaces sospechosos o archivos adjuntos maliciosos. Luego proceden a usar kits de explotación para escanear y explotar vulnerabilidades, a menudo obteniendo un control total y remoto sobre el sistema de la víctima.

Malware residente en el registro

El malware residente en el registro se instala por sí solo en Windows y permanece activo sin ser detectado, los piratas informáticos atacan el sistema operativo a través de un programa con mecanismos cuentagotas que descargan archivos corruptos; sin embargo, en este caso, el propio sistema cuentagotas escribe códigos maliciosos directamente en el registro de Windows.

Estos códigos maliciosos están ocultos en archivos nativos; por lo tanto, representa un desafío detectar malware de este tipo. Este tipo de malware sin archivos también puede activarse cada vez que se inicia el sistema operativo Windows.

Malware de memoria única

El malware de memoria única permanece únicamente en el espacio de memoria del dispositivo y tiende a persistir en su presencia, incluso después que la víctima reinicia el dispositivo infectado, ya que este puede volver a ejecutarse por sí solo. Las entradas de registro y el servicio de transferencia inteligente en segundo plano (o tareas BITS) son los mecanismos comunes utilizados para este ejercicio, BITS en particular, es un componente utilizado para descargas y cargas entre dispositivos y servidores remotos que no degrada la calidad de la red.

Uno de los mejores ejemplos de malware sin archivos únicos es Duqu 2.0, el cual reside en la memoria de cualquier sistema con total facilidad. Este malware tiene dos versiones; uno que permite que el atacante obtenga una posición de cabecera y otro que ayuda en el reconocimiento, los movimientos laterales y las filtraciones de datos.

Ransomware sin archivos

En la actualidad, los ataques de malware híbrido van en aumento; una de las combinaciones más comunes con la que toca enfrentarse es el malware sin archivos y ransomware, denominados de forma colectiva como ransomware sin archivos. Los piratas informáticos implantan sus códigos maliciosos en los documentos y los inyectan directamente en la memoria de los sistemas mediante kits de explotación.

Luego proceden a encriptar los datos que son esenciales para la operatividad de la empresa, y exigen un rescate a cambio de la clave para liberar la encriptación, es por esto que el deber de toda empresa es entender y saber cómo prevenir los ataques de malware sin archivos y cómo lidiar con el ransomware, mediante la creación de copias de seguridad periódicas de todos los datos esenciales. 

Credenciales robadas

En ocasiones, los actores de amenazas usan otros tipos de malware, tales como los virus troyanos, con el fin de robar las credenciales de los usuarios y llevar a cabo ataques haciéndose pasar por usuarios legítimos. Una vez que ganan ingreso, proceden al uso de herramientas nativas como Windows Management Instrumentation para el análisis de malware sin archivos, ya que los piratas informáticos suelen esconder sus códigos en el registro o crean cuentas de usuario con el fin de acceder al sistema sin repetir los pasos anteriores.

¿Cómo detectar el malware sin archivos?

Ahora que sabes bastante bien cómo funciona el malware sin archivos, es hora de entender cómo detectarlo, también te será de mucha ayuda aprender a eliminar este tipo de malware si tus sistemas se llegasen a ver afectados.

Dado que los códigos para los ataques de malware sin archivos nunca se escriben en los discos de almacenamiento, no se pueden detectar mediante protocolos habituales de autenticación basados en firmas y listas usuarios con accesos permitidos, este malware pasa totalmente desapercibido cuando es analizado por el software antivirus tradicional y otros métodos de aprendizaje automático también.

Es por esta razón que es importante confiar en los indicadores de los ataques en lugar de los indicadores usuales que indican que tu sistema ha sido comprometido. Los indicadores de ataque o IOA, son señales de que un ataque de malware sin archivos está en curso, un solo IOA no indica que estás en la presencia de un ataque, pero la combinación de varios sí lo harían.

Los IOA no se centran en los pasos necesarios para afectar un sistema, estos más bien se enfocan en observar signos específicos de que un ataque está en curso. El análisis de malware sin archivos se realiza examinando la relación de la acción maliciosa, con otras acciones y su posición en la serie planificada por el hacker.

Los IOA pueden exponer y evitar actividades malintencionadas llevadas a cabo con una cuenta de usuario genuina con credenciales robadas.

¿Cómo prevenir el malware sin archivos?

Los pasos que se toman de forma consciente para prevenir los ataques de malware, tales como la publicidad maliciosa y el malware sin archivos, pueden proteger tu base de datos y la imagen de tu marca, por lo que te presentamos una serie de consejos sobre cómo prevenir este tipo de ataques en tus sistemas.

Servicios gestionados para la caza de amenazas

La caza de amenazas requiere mucho tiempo y esfuerzo, ya que debe recopilar y estandarizar grandes cantidades de datos; dado que es un simulacro 24/7, este puede ser subcontratado a agencias externas para monitorear tus sistemas de manera proactiva, también funciona con tus sistemas tradicionales de seguridad cibernética y garantiza que ninguna actividad maliciosa pase desapercibida.

Prevención de suplantación de identidad

Lo mejor que puedes hacer para evitar ataques de malware sin archivos es mantener tu sistema contra todo riesgo, debes estar atento ante la presencia de correos electrónicos con phishing, no abras ningún archivo adjunto, ni hagas clic en ningún enlace desconocido.

  • No prestes atención a saludos inusuales de algún contacto que te envía correos electrónicos regularmente.
  • Ten cuidado con aquellos correos electrónicos que crean sentido de urgencia con palabras como «inmediatamente».
  • No respondas a solicitudes inusuales como tus credenciales de inicio de sesión (incluso si estas parecen legítimas).
  • Sesiones de educación y concientización para empleados

Las sesiones de formación para tus empleados sobre las prácticas para evitar el malware sin archivos, el spyware, el ransomware, entre otras amenazas, pueden ser muy útiles. La mayoría de los ataques cibernéticos tienen éxito debido a la falta de conciencia de los empleados.

Actualización de navegadores y software

No debes ignorar las notificaciones o ventanas emergentes que sugieren “actualizaciones del sistema», ya que, por lo general, las versiones actualizadas de los programas de uso frecuente tienen mejoras que les permiten combatir las nuevas tácticas de ataques que se usan para intentar ingresar a tus sistemas, ten presente que las versiones antiguas de programas y sistemas operativos son más susceptibles a los ataques de malware.

Pensamientos finales

Los ataques de malware sin archivos generalmente inyectan códigos maliciosos en un sistema sin usar ningún tipo de archivo. Esto generalmente sucede bajo modus operandi comunes en el mundo de los ataques cibernéticos, tales como tácticas de phishing e ingeniería social, por lo que debes prestar atención a una serie de indicadores de ataques, en lugar del software clásico usado para detectar tales incidentes.

También es necesario educar a tus empleados para que tengan cuidado al usar Internet, especialmente con sus cuentas de correo electrónico, recuerda pedirles que eviten hacer clic en enlaces sospechosos o desconocidos.