Temos que concordar: o crime cibernético chega a ser algo fascinante. Por mais que estejamos falando sobre atividades ilícitas, é indiscutível que qualquer entusiasta de computação se sente impressionado com a criatividade e com a habilidade técnica dos hackers que utilizam seus conhecimentos para fins maliciosos. Os malwares, por exemplo, se reinventam a um ritmo inacreditável, ganhando novos recursos que tornam cada vez mais difícil a sua detecção por parte de softwares para o usuário final (endpoint).
Após a onda dos ransomwares e dos cryptojackers – que deram muita dor de cabeça em 2018 –, neste ano, uma das principais “tendências” são os fileless malwares, que, em português, podemos chamar de malwares sem arquivos. Não se trata exatamente de um conceito novo; esse tipo de ameaça já existe há anos. Porém, especialistas apontam um aumento no número de ataques com tal modalidade: só no primeiro semestre do ano passado, a alta detectada foi de 92%.
Como seu nome sugere, um malware sem arquivo é um script malicioso que não depende da escrita ou leitura de arquivos na memória não-volátil do dispositivo-alvo (disco rígido, SSD, eMMC etc.). Sua execução é exclusiva ao nível de memória volátil do sistema (RAM), o que significa que a ameaça se disfarça em processos legítimos para executar os comandos hostis de forma silenciosa. Um malware só é considerado realmente fileless caso consiga comprometer a máquina afetada sem a necessidade de algum download.
Na maioria das vezes, a infecção começa com a visita da vítima a um site falso que se passa por uma página de confiança – o caminho até esse domínio perigoso pode ser direcionado via phishing ou por cybersquatting. Quando o usuário entra no endereço, um script se aproveita de vulnerabilidades zero day (falhas encontradas por criminosos e exploradas secretamente antes de seu conserto) em alguma aplicação (como no browser ou algum componente como o Flash) para se comunicar com serviços integrados do sistema. O PowerShell, do Windows, é um dos mais afetados.
Uma vez que o malware sem arquivos consiga estabelecer esse contato, ele passará a corromper esse processo para executar os comandos que desejar sem ser percebido. Uma ameaça fileless consegue se comunicar com um servidor de comando remoto para extrair dados sigilosos e transmiti-los diretamente para o criminoso – também é comum que esses scripts tenham o poder de abrir portas na rede corporativa para facilitar ataques posteriores à infraestrutura da empresa afetada. Tudo depende dos privilégios do sistema.
Fileless malwares são perigosos justamente por serem ameaças difíceis de serem detectadas. A maioria das soluções de segurança em endpoint disponíveis atualmente no mercado se baseiam na análise de arquivos presentes na memória de armazenamento da máquina – eles identificam perigos através de inspeções em assinaturas, padrões de comportamento, safelisting e assim por diante. A partir do momento em que o malware não precisa desses fatores para atacar, softwares tradicionais se tornam inúteis.
Por outro lado, o maior trunfo dos fileless malwares também se torna a sua maior fraqueza. Na maioria das vezes, por residir apenas como um processo na memória volátil do sistema, uma ameaça dessa espécie não é persistente – ou seja, ela desaparecerá caso a máquina infectada seja reiniciada. Contudo, caso o script tenha tempo o suficiente para efetuar configurações no sistema, sua existência deixa de ser necessária: ela já abriu as portas para futuros ataques naquele computador ou na rede corporativa.
Como dissemos anteriormente, os fileless malwares não são exatamente um conceito novo – já se observava esse tipo de ameaça há anos. Porém, esse método de infecção se popularizou entre o fim do ano passado e o início de 2019. Recentemente, por exemplo, pesquisadores detectaram um malware sem arquivo que focava suas atividades em três grandes bancos brasileiros, instalando um trojan capaz de roubar dados sigilosos e de se multiplicar como uma botnet.
A tendência é de que os fileless malwares evoluam ao longo dos próximos meses, dando origem àquilo que está sendo chamado de vaporworms – ou seja, scripts maliciosos sem arquivo e com capacidade auto replicante, que consegue se propagar com facilidade dentro de uma rede corporativa ou até mesmo pela internet. Tudo isso sem deixar um único resquício na memória ROM do dispositivo infectado.
A melhor forma de se proteger contra esse tipo de perigo é monitorando de forma proativa as redes e endpoints do ambiente corporativo, tal como se livrar de ferramentas e desligar recursos que não sejam críticos para exercer a atividade profissional (como o próprio PowerShell). Também é essencial conscientizar o quadro de colaboradores sobre as novas tendências em ameaças cibernéticas, proporcionando assim um crescimento contínuo em seu conhecimento sobre segurança da informação. Nós da Axur também podemos dar uma mãozinha: com as nossas soluções, encontramos e removemos fraudes como malwares e phishings e que atingem você ou os seus clientes.