O que é malware sem arquivos e como ajudar a evitá-lo?

O que é malware sem arquivos?

Malware sem arquivos é um código malicioso que infiltra um sistema de computador sem deixar uma pegada óbvia, ao contrário de vírus tradicionais ou outros tipos de malware que normalmente criam arquivos de rastreamento. Em vez disso, o malware sem arquivos vive inteiramente na memória de acesso aleatório (RAM) de um computador e utiliza ferramentas confiáveis do sistema para executar processos prejudiciais e roubar dados.

O malware sem arquivos se esconde profundamente na memória do sistema, em vez de no disco.

Os invasores que lançam ataques de malware sem arquivos geralmente usam programas e comandos legítimos integrados ao seu PC para se misturar com a atividade normal do sistema. As ferramentas que malwares sem arquivos podem utilizar incluem:

• PowerShell.

• Windows Management Instrumentation (WMI).

• VBScript.

• JScript.

• Arquivos em lotes.

• Utilitários de sistema, como mshta.exe e rundll32.exe.

Como o malware sem arquivos geralmente se mistura com a atividade normal do sistema, é difícil de detectar, uma vez que programas antivírus normalmente procuram por arquivos infectados como evidência de malware à espreita em algum lugar do sistema. Sem essa evidência baseada em arquivos, softwares antivírus tradicionais podem ignorar completamente a presença de malwares sem arquivos.

Como funciona malware sem arquivos?

As infecções por malware sem arquivos geralmente começam quando uma vítima baixa um documento de aparência inofensiva ou executa um script que pensa ser inócuo, mas que na verdade está infectado com código malicioso. Essa ação faz com que um programa como o Powershell seja ativado nos bastidores e o código malicioso seja carregado diretamente na RAM.

Uma vez ativo, o malware sem arquivo pode baixar cargas úteis adicionais, implantar spyware, coletar dados confidenciais ou alterar as configurações do sistema, tudo isso enquanto se mistura à atividade normal do sistema.

Essa técnica transforma ferramentas legítimas do sistema em armas, permitindo que os invasores se misturem e operem sem deixar os rastros óbvios baseados em arquivos, típicos do malware tradicional.

Depois que a vítima baixa o malware, ele se infiltra na RAM e envia os dados roubados para o hacker.

Aqui está uma análise mais detalhada de como um ataque de malware sem arquivos se desenvolve:

Obtendo acesso

Primeiro, o hacker precisa obter acesso não autorizado ao sistema que está atacando. Os ataques sem arquivos geralmente começam entrando em contato com a vítima por meio de um link malicioso em um e-mail de phishing, um anexo infectado, um download não solicitado (malware baixado automaticamente de um site infectado) ou código oculto injetado em um app confiável por meio de uma "backdoor".

Se o usuário responder como esperado, clicando em um link falso ou baixando um documento comprometido, por exemplo, o malware sem arquivos pode acionar um programa integrado para executar um script, permitindo que um código prejudicial seja executado na memória do dispositivo.

Estabelecendo a persistência

Uma vez instalado e ativado, o malware sem arquivos visa permanecer oculto para poder executar processos mais prejudiciais ou roubar mais dados antes de ser detectado.

Ele opera de forma leve, continuando a ser executado na RAM e evitando criar quaisquer arquivos que possam denunciá-lo a um antivírus ou varredura de malware. Ele pode armazenar scripts dentro de chaves de registro, configurar eventos WMI que relançam automaticamente o malware quando você reinicia o sistema ou criar tarefas agendadas sorrateiras.

Exfiltração de dados

O malware sem arquivos usa ferramentas e comandos integrados comuns em computadores, como PowerShell, CertUtil ou mshta.exe, para se mover pelo sistema ou exfiltrar dados silenciosamente. Algumas ameaças sem arquivos podem até criptografar seus arquivos ou roubar senhas da memória. Since the stolen data usually blends in with regular network traffic, these attacks can run amok without raising red flags.

Tipos comuns de malware sem arquivos

Malwares sem arquivos, assim como malwares comuns, vêm em muitas formas diferentes. Mas todos eles têm uma coisa em comum: operam sem deixar os rastros de arquivo habituais típicos de malwares tradicionais. Em vez disso, eles são executados na memória temporária e sequestram ferramentas integradas do sistema, tornando a detecção de qualquer tipo de malware sem arquivos mais difícil do que a detecção de ataques padrão baseados em arquivos.

Estas são algumas das variedades mais comuns de malware sem arquivos:

Malware residente na memória

O malware residente na memória se enraíza na RAM de um sistema. Ele encobre seus rastros raramente gravando no disco, tornando o trabalho das ferramentas antivírus tradicionais incrivelmente difícil. Esse supervilão sem arquivo normalmente infecta sistemas de computador por meio de gateways de rede e firewalls e só é executado quando o sistema está ligado, realizando suas tarefas silenciosamente em segundo plano.

Um exemplo bem conhecido é o Duqu 2.0, que abalou a indústria de segurança de TI em 2015. A sofisticada ferramenta de ciberespionagem infectou computadores em hotéis na Áustria e na Suíça, que eram locais de negociações internacionais sobre o programa nuclear do Irã.

Malware baseado em registro

O malware baseado em registro esconde seus comandos ou códigos maliciosos dentro do registro do Windows, que ele usa tanto como plataforma de lançamento quanto como mecanismo para estabelecer persistência. Em vez de depender de um arquivo executável tradicional, ele incorpora scripts ou pacotes de dados codificados diretamente nas chaves de registro. Isso permite, de forma astuta, que o malware se recarregue toda vez que o sistema é iniciado.

As variantes do malware cavalo de Troia, o Poweliks e o Kovter tornaram-se famosas por usar essa técnica e permanecer profundamente camufladas, não deixando praticamente nenhum rastro.

O Poweliks foi uma das primeiras ameaças sem arquivo amplamente reconhecidas, armazenando seu JavaScript malicioso diretamente no registro e usando ferramentas legítimas do sistema para executá-lo. Kovter começou como uma ameaça baseada em arquivos, mas depois evoluiu para uma família de malwares praticamente sem arquivo, usando pacotes de dados armazenados no registro para sustentar fraudes de clique, injeção de anúncios e controle remoto do invasor, minimizando sua presença em disco.

Ataques baseados em WMI ou script

Esses ataques exploram ferramentas confiáveis do Windows, como WMI e PowerShell, para executar comandos maliciosos diretamente da memória do dispositivo. Eles “vivem da terra” (LOTL), misturando-se à atividade regular do sistema e com o objetivo de evitar gravar qualquer coisa suspeita no disco para não se incriminarem.

Esses métodos orientados por script estão entre as formas mais comuns de ataques sem arquivo, porque dependem de ferramentas nas quais o sistema operacional já confia. Em vez de usar um arquivo executável tradicional, os invasores abusam do PowerShell, WMI ou outros mecanismos de script para carregar código malicioso diretamente na memória ou recuperá-lo de um servidor remoto. A campanha de intrusão FIN7, que frequentemente utilizava carregadores baseados em PowerShell e JavaScript para realizar operações furtivas e sem arquivo, é um dos ataques de malware sem arquivo baseados em script mais bem documentados.

Detectando malwares sem arquivos

A abordagem LOTL de um malware sem arquivos significa que ele pode escapar de defesas como softwares antivírus tradicionais e quaisquer sistemas de cibersegurança que dependam apenas de detecção baseada em assinatura (procurando arquivos conhecidos), listas de permissões e área restrita.

As vítimas em potencial que enfrentam essas ameaças precisam, em vez disso, contar com softwares focados em detecção baseada em comportamento, monitorando atividades de script incomuns, uso anormal do PowerShell e processos suspeitos sendo executados na memória.

Estas são duas das principais maneiras pelas quais os programas ou apps de segurança cibernética modernos visam detectar malware sem arquivo:

Indicadores de ataque e indicadores de comprometimento

Como o malware sem arquivo não envolve nenhum arquivo comprometido que as ferramentas de detecção baseadas em assinatura possam identificar como arriscado (conhecido como evidência reativa ou “indicadores de comprometimento”), a defesa contra malware sem arquivo depende de evidências proativas ou “indicadores de ataque”. Isso pode incluir sinais de que algo suspeito está acontecendo, como o PowerShell executando processos incomuns ou scripts inesperados sendo executados.

Implementar ferramentas que possam detectar comportamentos suspeitos à medida que ocorrem, em vez de apenas detectar as consequências, é a chave para identificar um ataque e, esperançosamente, detê-lo antes que cause danos reais.

Técnicas de análise comportamental

A espinha dorsal da detecção de malware sem arquivo é observar o que o sistema faz, e não quais arquivos ele cria ou armazena. Recursos de cibersegurança como monitoramento em tempo real, registro de bloqueio de scripts e rastreamento detalhado do comportamento de processos podem identificar atividades incomuns à medida que acontecem, expondo ameaças que seriam invisíveis para uma segurança puramente baseada em assinaturas.

Para identificar anomalias, as ferramentas de cibersegurança geralmente precisam primeiro criar uma base do comportamento normal, um processo cada vez mais alimentado por tecnologia de IA e aprendizagem de máquina.

Como prevenir ataques de malware sem arquivos

Defesas eficazes contra malwares sem arquivos devem ser proativas, pois precisam detectar o malware no momento em que ele explora ferramentas confiáveis do sistema, em vez de se basearem em evidências que ele deixa para trás. E, como os ataques sem arquivo dependem de muitos dos mesmos métodos de exposição que o malware tradicional, estar ciente de vetores de ataque comuns de ciberameaças, como phishing, software comprometido e anexos infectados, também é fundamental.

Estas são algumas das melhores maneiras de ajudar a proteger seus dispositivos contra o risco representado por malware sem arquivo:

• Evite links e anexos suspeitos. Muitas infecções por malware sem arquivos começam com ataques de phishing. Por isso, tenha cuidado ao abrir ou interagir com e-mails, links, mensagens de redes sociais ou anexos inesperados. Eles podem ser um artifício de engenharia social para contornar suas defesas, esperando que você aja sem pensar e, inadvertidamente, dê ao malware acesso ao seu sistema.

• Mantenha seu sistema operacional, outros softwares e apps atualizados. Manter seu sistema operacional e apps ou programas individuais atualizados com os patches mais recentes ajuda a garantir que você tenha segurança contra vetores de ataque que visam explorar fraquezas em versões de software desatualizadas.

• Use um software de segurança confiável. Embora alguns apps antivírus tradicionais possam não ser de grande ajuda contra malwares sem arquivos, soluções modernas como o Avast Free Antivirus combinam proteção baseada em assinaturas com monitoramento comportamental e outros recursos que podem ajudar você a se defender contra golpes, ransomware, ameaças de dia zero e outros tipos de malware.

• Desative macros em arquivos do Office. Muitos ataques sem arquivos envolvem scripts que acionam códigos perigosos em documentos para extrair informações confidenciais ou causar outros efeitos prejudiciais. Desabilitar a funcionalidade de macro em seu pacote Office pode ajudar a prevenir que macros com vírus façam isso, bloqueando efetivamente subsequentes ataques sem arquivos.

• Use políticas restritas do PowerShell. Alterar sua política do PowerShell lhe dá mais controle sobre o que os scripts podem fazer, ou até mesmo se eles podem ser executados, o que pode eliminar um dos principais métodos de ataque de malware sem arquivo. Se você tiver direitos de administrador, pode, por exemplo, mudar o PowerShell para o modo de linguagem restrita ou aplicar políticas de execução (como AllSigned ou Restricted).

• Ative o registro em log do PowerShell. O registro em log do PowerShell cria um histórico de todos os comandos executados, ajudando você a identificar solicitações incomuns precocemente. Isso pode facilitar a investigação do que aconteceu se você notar sinais suspeitos que parecem apontar para uma infecção por malware.

Estratégias de prevenção em nível empresarial

Malwares sem arquivos também podem visar empresas. Mas uma abordagem de segurança multifacetada que inclua manter os sistemas atualizados, usar ferramentas de detecção baseadas em comportamento e educar os funcionários pode ajudar a reduzir o risco de comprometimento dos sistemas internos.

Um centro de operações de segurança ou uma equipe gerenciada de caça a ameaças pode ficar de olho em qualquer coisa incomum. Ao mesmo tempo, as ferramentas de segurança EDR/XDR monitoram dispositivos em tempo real e sinalizam comportamentos suspeitos. As empresas também podem usar a lista de permissões de apps para permitir a execução apenas de apps aprovados.

O acesso a ferramentas poderosas do sistema, como PowerShell e WMI, deve ser limitado às pessoas que realmente precisam delas. Seguir permissões de privilégio mínimo ou confiança zero ajuda a manter os sistemas mais seguros, contendo qualquer dano.

Em resumo, a prevenção eficaz não se trata de bloquear arquivos, mas de controlar o comportamento e usar ferramentas para identificar atividades mal-intencionadas antes que elas causem prejuízos. A boa notícia para as equipes de TI que combatem essas ameaças modernas é que, embora existam muitas variantes de malware sem arquivos, elas tendem a operar de maneiras muito semelhantes.

Ajude a proteger seu sistema contra malwares sem arquivos hoje mesmo

O Avast Free Antivirus oferece uma combinação de recursos que podem ajudar você a se defender contra malwares tradicionais, sem arquivos e outras ameaças online. Com análise comportamental, proteção em tempo real para manter seus dispositivos mais seguros enquanto você navega online e um assistente com IA para detectar golpes, ele pode ajudar a proteger contra os diversos vetores de ataque que cibercriminosos podem explorar. Baixe o Avast Free Antivirus agora mesmo e fique à frente das ameaças em constante evolução.