A Check Point Software Technologies Ltd explica que um ataque fileless tem a capacidade de esquivar-se dos antivírus tradicionais devido a não se precisar de uma instalação de malware no dispositivo da vítima para o infectar.
Em vez disso, os ataques fileless tomam vantagem das vulnerabilidades existentes em cada computador e utilizam ferramentas comuns do sistema, como o Windows Management Instrumentation (WMI) ou o PowerShell para inserir o código malicioso em processos que normalmente são seguros e de confiança.
Os ataques com o malware fileless têm vindo a aumentar. Num dos casos mais recentes, o ataque consistia em infectar os computadores corporativos através da execução de ordens no sistema Windows. Isto foi feito ao criar um objecto permanente de WMI Event Consumer o qual fazia funcionar o PowerShell, um processo de confiança e assinado pela Microsoft que já está disponível no Windows.
Este ataque está dentro do sistema sem um ficheiro escrito no disco e sem qualquer processo malicioso ou ilegítimo a funcionar no sistema operativo.
No entanto, os cibercriminosos estão a utilizar cada vez mais códigos por que são mais rápidos e fáceis de produzir em grande escala do que os malware em ficheiros. Para além de serem mais fáceis de produzir, também criam mais dificuldades para os fornecedores de soluções de segurança.
A Check Point refere que o Behavioral Guard do SandBlast Agent demonstrou ser eficaz ao aumentar a detecção contra o malware fileless. Este é um mecanismo que detecta comportamentos e actua contra os ataques. Ao detectar um comportamento malicioso, recolhe informações e identifica de forma única o comportamento do malware desconhecido e o classifica na família de malware correcta.
Esta protecção tem a capacidade de se adaptar à evolução dos malware ao longo do tempo e pode ser utilizada para detectar e prevenir inúmeros géneros de ataques, incluído aqueles que utilizam ferramentas legítimas de forma maliciosa.
Via Check Point Software Technologies Ltd.
