¿Qué es el malware sin archivos y cómo puedes ayudar a prevenirlo?

¿Qué es el malware sin archivos?

El malware sin archivos es código malicioso que se infiltra en un sistema informático sin dejar una huella evidente, a diferencia de los virus tradicionales u otros tipos de malware que suelen crear archivos de rastreo. En su lugar, el malware sin archivos vive completamente en la memoria de acceso aleatorio (RAM) de un equipo y utiliza herramientas fiables del sistema para ejecutar procesos dañinos y robar datos.

El malware sin archivos se esconde en lo profundo de la memoria del sistema en lugar de en el disco.

Los atacantes que lanzan ataques de malware sin archivos suelen utilizar programas y comandos integrados legítimos en tu PC para mezclarse con la actividad normal del sistema. Las herramientas que el malware sin archivos puede aprovechar incluyen:

• PowerShell.

• Windows Management Instrumentation (WMI).

• VBScript.

• JScript.

• Archivos por lotes.

• Utilidades del sistema, como mshta.exe y rundll32.exe.

Debido a que el malware sin archivos generalmente se mezcla con la actividad normal del sistema, es difícil de detectar, ya que los programas antivirus suelen buscar archivos infectados como evidencia de malware que acecha en algún lugar del sistema. Sin esa evidencia basada en archivos, el software antivirus tradicional puede pasar por alto completamente la presencia de malware sin archivos.

¿Cómo funciona el malware sin archivos?

Las infecciones de malware sin archivos suelen comenzar cuando una víctima descarga un documento de aspecto inofensivo o ejecuta un script que cree que es inocuo, pero que en realidad está infectado con código malicioso. Esta acción hace que un programa como PowerShell se active en segundo plano, y el código maligno se carga directamente en la RAM.

Una vez activo, el malware sin archivos puede descargar cargas adicionales, implementar spyware, recopilar datos confidenciales o alterar la configuración del sistema, todo mientras se mezcla con la actividad normal del sistema.

Esta técnica convierte las herramientas legítimas del sistema en armas, lo que permite a los atacantes mezclarse y operar sin dejar los rastros evidentes basados en archivos típicos del malware tradicional.

Una vez que la víctima descarga el malware, este se cuela en la RAM y envía los datos robados al hacker.

A continuación, se presenta un desglose más detallado de cómo se desarrolla un ataque de malware sin archivos:

Obtención de acceso

Primero, el hacker debe obtener acceso no autorizado al sistema al que se dirige. Los ataques sin archivos suelen comenzar contactando con la víctima con un vínculo malicioso en un correo de phishing, un archivo adjunto infectado, una descarga no autorizada (malware que se descarga automáticamente desde un sitio web infectado) o código oculto inyectado en una app de confianza a través de una «puerta trasera».

Si el usuario responde según lo previsto, haciendo clic en un vínculo falso o descargando un documento comprometido, por ejemplo, el malware sin archivos puede activar un programa integrado para ejecutar un script, permitiendo que el código dañino se ejecute en la memoria del dispositivo.

Establecimiento de persistencia

Una vez en su lugar y activado, el malware sin archivos tiene como objetivo pasar desapercibido para poder ejecutar procesos más dañinos o robar más datos antes de ser detectado.

Opera ligeramente, continuando su ejecución en la RAM y evitando crear archivos que puedan delatarlo ante un antivirus o un análisis de malware. Puede almacenar scripts dentro de claves del registro, configurar eventos WMI que reinicien automáticamente el malware cuando reinicias tu sistema, o crear tareas programadas furtivas.

Exfiltración de datos

El malware sin archivos utiliza herramientas y comandos integrados comunes en los equipos, como PowerShell, CertUtil o mshta.exe, para moverse por el sistema o exfiltrar datos silenciosamente. Algunas amenazas sin archivos pueden incluso cifrar tus archivos o robar contraseñas de la memoria. Dado que los datos robados suelen mezclarse con el tráfico de red habitual, estos ataques pueden descontrolarse sin levantar señales de alerta.

Tipos comunes de malware sin archivos

El malware sin archivos, como el malware normal, se presenta en muchas formas diferentes. Pero todas tienen una cosa en común: operan sin dejar los rastros de archivo habituales típicos del malware tradicional. En su lugar, se ejecutan en la memoria temporal y secuestran herramientas integradas del sistema, lo que hace que detectar cualquier tipo de malware sin archivos sea más difícil que detectar ataques estándar basados en archivos.

Estas son algunas de las variedades más comunes de malware sin archivos:

Malware residente en memoria

El malware residente en memoria se arraiga en la RAM de un sistema. Cubre sus huellas escribiendo raramente en el disco, lo que dificulta increíblemente el trabajo de las herramientas antivirus tradicionales. Este supervillano sin archivos suele infectar los sistemas informáticos a través de puertas de enlace de red y firewalls, y solo se ejecuta cuando el sistema está encendido, realizando sus tareas silenciosamente en segundo plano.

Un ejemplo bien conocido es Duqu 2.0, que sacudió el sector de la seguridad de TI en 2015. La herramienta de ciberespionaje altamente sofisticada infectó equipos en hoteles de Austria y Suiza, que fueron lugares de negociaciones internacionales sobre el programa nuclear de Irán.

Malware basado en el registro

El malware basado en el registro oculta su código o comandos maliciosos dentro del registro de Windows, que utiliza como plataforma de lanzamiento y mecanismo para establecer persistencia. En lugar de depender de un archivo ejecutable tradicional, incrusta scripts o cargas útiles codificadas directamente en las claves del registro. Esto permite astutamente que el malware se recargue cada vez que se inicia el sistema.

Las variantes de malware troyano, Poweliks y Kovter, se hicieron tristemente célebres por usar esta técnica y permanecer profundamente encubiertas sin dejar prácticamente huella.

Poweliks fue una de las primeras amenazas sin archivos ampliamente reconocidas, almacenando su JavaScript malicioso directamente en el registro y utilizando herramientas legítimas del sistema para ejecutarlo. Kovter comenzó como una amenaza basada en archivos, pero luego evolucionó a una familia de malware mayoritariamente sin archivos, utilizando cargas útiles almacenadas en el registro para respaldar el fraude de clics, la inyección de anuncios y el control remoto del atacante, al tiempo que minimizaba su huella en el disco.

Ataques basados en WMI o scripts

Estos ataques explotan herramientas fiables de Windows como WMI y PowerShell para ejecutar comandos maliciosos directamente desde la memoria del dispositivo. «Viven de la tierra», mezclándose con la actividad habitual del sistema y con el objetivo de evitar escribir nada sospechoso en el disco para no incriminarse.

Estos métodos basados en scripts se encuentran entre las formas más comunes de ataques sin archivos, ya que dependen de herramientas en las que el sistema operativo ya confía. En lugar de soltar un archivo ejecutable tradicional, los atacantes abusan de PowerShell, WMI u otros motores de scripts para cargar código malicioso directamente en la memoria o recuperarlo de un servidor remoto. La campaña de intrusión FIN7, que con frecuencia aprovechaba cargadores basados en PowerShell y JavaScript para llevar a cabo operaciones sigilosas y sin archivos, es uno de los ataques de malware sin archivos basados en scripts mejor documentados.

Detectar malware sin archivos

El enfoque LOTL del malware sin archivos significa que puede eludir defensas como el software antivirus tradicional y cualquier sistema de ciberseguridad que dependa únicamente de la detección basada en firmas (buscando archivos conocidos), las listas de permitidos y los espacios aislados.

Las víctimas potenciales que se enfrentan a estas amenazas deben confiar en cambio en software que se centre en la detección basada en el comportamiento, supervisando actividades inusuales de scripts, uso anormal de PowerShell y procesos sospechosos que se ejecutan en la memoria.

Estas son dos de las principales formas en que los programas o apps de ciberseguridad modernos pretenden detectar malware sin archivos:

Indicadores de ataque frente a indicadores de compromiso

Debido a que el malware sin archivos no involucra ningún archivo comprometido que las herramientas de detección basadas en firmas puedan identificar como arriesgado (conocido como evidencia reactiva o «indicadores de compromiso»), la defensa contra el malware sin archivos se basa en evidencia proactiva o «indicadores de ataque». Estos pueden incluir señales de que algo sospechoso está sucediendo, como que PowerShell ejecute procesos inusuales o se ejecuten scripts inesperados.

Implementar herramientas que puedan detectar comportamientos sospechosos a medida que ocurren, en lugar de simplemente detectar las consecuencias, es la clave para detectar un ataque y, con suerte, detenerlo antes de que cause un daño real.

Técnicas de análisis de comportamiento

La columna vertebral de la detección de malware sin archivos es observar lo que hace el sistema, no qué archivos crea o almacena. Las funciones de ciberseguridad como la supervisión en tiempo real, el registro de bloqueo de scripts y el seguimiento detallado del comportamiento del proceso pueden detectar actividades inusuales a medida que ocurren, exponiendo amenazas que serían invisibles para la seguridad basada únicamente en firmas.

Para identificar anomalías, las herramientas de ciberseguridad a menudo tienen que crear primero una línea base de cómo es el comportamiento normal, un proceso que está cada vez más impulsado por la tecnología de inteligencia artificial y aprendizaje automático.

Cómo prevenir ataques de malware sin archivos

Las defensas efectivas contra el malware sin archivos deben ser proactivas, ya que necesitan atrapar al malware en el acto de explotar herramientas fiables del sistema, en lugar de captar la evidencia que deja atrás. Y, dado que los ataques sin archivos dependen de muchos de los mismos métodos de exposición que el malware tradicional, ser consciente de los vectores de ataque de ciberamenazas comunes como el phishing, el software comprometido y los archivos adjuntos infectados también es fundamental.

Estas son algunas de las mejores formas de ayudar a proteger tus dispositivos contra el riesgo que plantea el malware sin archivos:

• Evita los vínculos y archivos adjuntos sospechosos. Muchas infecciones de malware sin archivos comienzan con ataques de phishing, así que ten cuidado al abrir o interactuar con correos electrónicos, vínculos, mensajes de redes sociales o archivos adjuntos inesperados. Podrían ser una táctica de ingeniería social para eludir tus defensas, esperando que actúes sin pensar e inadvertidamente des acceso al malware a tu sistema.

• Mantén actualizados tu sistema operativo y otros software y apps. Mantener tu sistema operativo y las apps o programas individuales actualizados con los parches más recientes ayuda a asegurar que mantengas la protección contra vectores de ataque que tienen como objetivo explotar debilidades en versiones de software obsoletas.

• Usa software de seguridad de confianza. Aunque algunas apps antivirus tradicionales pueden no ser de mucha ayuda contra el malware sin archivos, las soluciones modernas como Avast Free Antivirus combinan la protección basada en firmas con la supervisión de comportamiento y otras funciones que pueden ayudarte a defenderte contra estafas, ransomware, amenazas de día cero y otros tipos de malware.

• Desactiva macros en archivos de Office. Muchos ataques sin archivos involucran scripts que activan código dañino en documentos para extraer información confidencial o causar otros efectos perjudiciales. Desactivar la funcionalidad de macros en tu suite de Office puede ayudar a evitar que los virus de macro lo consigan, bloqueando eficazmente los ataques sin archivos posteriores.

• Usa políticas de PowerShell restringidas. Cambiar tu política de PowerShell te da más control sobre lo que los scripts pueden hacer, o incluso si pueden ejecutarse, lo que puede cortar uno de los principales métodos de ataque de malware sin archivos. Si tienes derechos de administrador, puedes, por ejemplo, cambiar PowerShell al Modo de lenguaje restringido o imponer Políticas de ejecución (como AllSigned o Restricted).

• Activa el registro de PowerShell. El registro de PowerShell crea un registro de todos los comandos que se ejecutan, lo que te ayuda a detectar solicitudes inusuales temprano. Esto puede facilitar la investigación de lo que ha sucedido si notas signos sospechosos que parecen apuntar hacia una infección de malware.

Estrategias de prevención a nivel empresarial

El malware sin archivos también puede atacar a las empresas. Pero un enfoque de seguridad múltiple que incluya mantener los sistemas parcheados, utilizar herramientas de detección basadas en el comportamiento y educar a los trabajadores puede ayudar a reducir el riesgo de que los sistemas internos se vean comprometidos.

Un Centro de operaciones de seguridad (SOC) o un equipo de búsqueda de amenazas gestionado pueden estar atentos a cualquier cosa inusual. Al mismo tiempo, las herramientas de seguridad EDR/XDR supervisan los dispositivos en tiempo real y marcan el comportamiento sospechoso. Las empresas también pueden utilizar listas de apps permitidas para que solo se ejecuten las apps aprobadas.

El acceso a potentes herramientas del sistema como PowerShell y WMI debe limitarse a las personas que realmente las necesitan. Seguir los permisos de privilegios mínimos o de confianza cero ayuda a mantener los sistemas más seguros al contener cualquier daño.

En resumen, la prevención eficaz no consiste en bloquear archivos, sino en controlar el comportamiento y utilizar herramientas para detectar actividades maliciosas antes de que causen daño. La buena noticia para los equipos de TI que luchan contra estas amenazas de la nueva era es que, si bien hay muchas variantes de malware sin archivos, tienden a operar de manera muy similar.

Ayuda a proteger tu sistema del malware sin archivos hoy mismo

Avast Free Antivirus ofrece una combinación de funciones que pueden ayudarte a defenderte del malware tradicional, el malware sin archivos y otras amenazas en línea. Con análisis de comportamiento, protección en tiempo real para mantener tus dispositivos más seguros mientras navegas por internet y un asistente de detección de estafas basado en inteligencia artificial, puede ayudarte a protegerte contra los diversos vectores de ataque que los ciberdelincuentes pueden explotar. Descarga Avast Free Antivirus ahora y mantente un paso por delante de las amenazas en evolución.