Fileless malware: definición, tipos y detección

¿Qué es el fileless malware?

Este malware suele distribuirse mediante intentos de ingeniería social, como ataques de phishing por correo electrónico. Este tipo de campañas suelen estar cuidadosamente diseñadas para dirigirse a personas u organizaciones específicas, lo que aumenta las probabilidades de éxito.

Dado que aprovecha las herramientas ya existentes en el dispositivo, el malware sin archivos puede considerarse un ataque LOL (living off the land). En estos ataques, los ciberdelincuentes explotan programas o scripts legítimos existentes, conocidos como LOLBins (living off the land binaries), para ejecutar sus acciones maliciosas.

¿Cómo funciona el fileless malware?

El malware sin archivos funciona mediante una serie de pasos cuidadosamente orquestados. Aprovecha los recursos del dispositivo para ejecutar actividades maliciosas sin dejar rastro en el disco duro. Analicemos el proceso con más detalle a continuación.

1. 1.El atacante envía un correo electrónico de phishing. El ataque informático suele comenzar con un correo electrónico u otro tipo de ataque de phishing. Este correo electrónico está diseñado para engañar al destinatario. Contendrá un enlace malicioso o un archivo adjunto que parece legítimo, pero está diseñado para engañar al usuario para que interactúe con él.
2. 2.El malware entra en el dispositivo. Una vez que el usuario hace clic en el enlace o abre el archivo adjunto, se activa. En lugar de guardar un archivo en el almacenamiento del dispositivo, el malware se ejecuta directamente en la RAM (memoria de acceso aleatorio), que se utiliza para almacenar datos temporalmente mientras se ejecutan los programas. Para acceder a un dispositivo, los delincuentes suelen aprovechar las vulnerabilidades del software que el usuario ya tiene instalado, como lectores de documentos, apps para PDF o complementos del navegador.
3. 3.El malware explota la herramienta de administración. A continuación, se aprovecha de herramientas de administración confiables del sistema operativo, como PowerShell o Instrumental de Administración de Windows (WMI). Estas herramientas se utilizan frecuentemente para la automatización y gestión de tareas y, dado que se consideran legítimas y esenciales, la mayoría del software de seguridad no las bloquea.
4. 4.El malware se conecta al centro de comando y control. Mediante estas herramientas administrativas, el malware se conecta a un centro de comando y control remoto, donde descarga y ejecuta scripts maliciosos adicionales. Esta interacción remota permite al atacante realizar otras actividades dañinas directamente en la memoria del dispositivo.
5. 5.Tus datos se envían a los hackers. Finalmente, el malware comienza a filtrar datos. Envía información robada a los atacantes y también puede realizar movimientos laterales, propagándose por la red para acceder y comprometer otros dispositivos o servidores dentro de la misma.

Tipos de malware sin archivos

El malware sin archivos puede adoptar diversas formas, cada una diseñada para explotar vulnerabilidades en diferentes herramientas y software, además evita ser detectado. Exploremos los diferentes métodos utilizados en los ataques sin archivos y cómo pueden comprometer su red.

Pasemos a analizar los tipos de malware que existen. Compara las definiciones para conocer mejor sus peculiaridades.

Malware residente en la memoria

El malware residente en memoria opera directamente en la memoria a corto plazo (RAM) del ordenador y no crea archivos persistentes en el disco duro. Se ejecuta en segundo plano y proporciona a los atacantes acceso por la puerta trasera. Dado que el malware residente en memoria reside en esta memoria volátil, permanece activo mientras el PC esté en funcionamiento y puede ejecutar sus actividades maliciosas sin dejar archivos permanentes en el disco.

Malware del registro de Windows

Los hackers pueden ocultar malware en el registro de Windows, una parte del equipo donde se almacenan configuraciones importantes. Al colocar código malicioso allí, pueden mantenerlo oculto durante mucho tiempo sin ser detectados.

Una vez que acceden a tu dispositivo, los atacantes podrían usar una herramienta llamada PowerShell para realizar acciones dañinas. PowerShell es una herramienta de línea de comandos que no registra los comandos que ejecuta. Esto dificulta rastrear las acciones del malware, incluso con software de seguridad como firewalls y antivirus.

Fileless malware rootkit

Los intrusos pueden obtener acceso de administrador al dispositivo de la víctima e instalar malware rootkit. Un rootkit es un tipo de software malicioso diseñado específicamente para ocultar otras formas de malware o actividad maliciosa dentro del sistema operativo. Si bien el rootkit en sí implica algún tipo de archivo o modificación, permite que el malware funcione sin depender de archivos visibles. Este comportamiento se corresponde con las funciones generales del malware sin archivos.

Ransomware sin archivos

Con el ransomware sin archivos, los atacantes emplean técnicas avanzadas para incrustar código malicioso directamente en la memoria o documentos de un ordenador mediante lenguajes de script nativos. Una vez activado, el ransomware cifra los archivos en el dispositivo de la víctima y exige un rescate para descifrarlos, todo ello mientras permanece oculto.

Ejemplos reales de fileless malware

El malware sin archivos (fileless malware) es una amenaza que cada vez es más peligrosa, debido a que no deja rastros tradicionales en el disco duro. Es difícil detectarlo con los antivirus convencionales. 

Uno de los primeros ejemplos conocidos de este tipo de amenaza fue el virus Frodo, descubierto a finales de los años 80. Frodo es significativo porque se almacenaba únicamente en la memoria, lo que lo convirtió en un precursor de los ataques modernos sin archivos.

En la actualidad, los ataques fileless tienen en el punto de mira a las entidades financieras y organizaciones gubernamentales. Por ejemplo, grupos como APT29 (también conocido como Cozy Bear) han sido vinculados a campañas contra gobiernos y empresas. Otro caso fue el ataque fileless al sistema financiero de Ucrania en 2017, que empleó técnicas similares y mostró la capacidad de este malware para causar daños a gran escala sin ser fácilmente detectado.

Dicho esto, veamos por qué es importante detectar esta clase de malware y las medidas de protección digital que deberían aplicarse.

¿Por qué es difícil detectar el fileless malware?

El fileless malware es muy difícil de detectar porque no deja rastro en el disco duro. Los antivirus convencionales no son capaces de identificarlos a la primera. Esto hace que el malware sin archivos se ejecute en la memoria y llegue a aprovecharse de herramientas legítimas del sistema.

La prevención es fundamental y para esto cuentas con herramientas avanzadas de seguridad digital. Por ejemplo, una VPN, que sirve para encriptar el tráfico online y proteger con capas los datos privados de los usuarios.

Cómo detectar malware sin archivos

Si tu PC está infectado, notarás cambios en el rendimiento: se ralentiza, los programas se bloquean, puede aparecer software adicional en el disco duro o aparecen ventanas emergentes sospechosas inesperadas. Te recomendamos comparar la VPN vs. antivirus.

Sin embargo, el malware sin archivos está diseñado para permanecer oculto en su dispositivo el tiempo necesario para comprometer sus datos. Por eso, detectarlo puede ser difícil. No obstante, existen algunas estrategias y herramientas que pueden ayudarle a identificar estas amenazas.

Indicadores del ataque

El uso de indicadores de ataque (IOA) puede ayudar a detectar actividad anormal asociada con malware sin archivos. Los IOA son señales o patrones que pueden indicar que un sistema está siendo atacado. Busque comportamientos inusuales, como cambios inesperados en los procesos del dispositivo o el uso no autorizado de lenguajes de scripting como PowerShell. Estar atento a estas señales puede ayudarle a detectar posibles amenazas antes de que causen daños graves.

Búsqueda de amenazas gestionada

La búsqueda gestionada de ciberamenazas consiste en buscar y responder a amenazas que las herramientas automatizadas podrían pasar por alto. Los cazadores expertos analizan patrones inusuales en la red para encontrar indicios de malware sin archivos. Herramientas como el sandbox de malware y las listas de permitidos son útiles. El sandbox permite ejecutar y observar código potencialmente malicioso en un espacio seguro, y las listas de permitidos garantizan que solo se ejecuten los programas aprobados, lo que reduce la probabilidad de actividad no autorizada.

Cómo prevenir ataques de fileless malware

El malware sin archivos puede ser difícil de detectar, pero es posible detenerlo con las medidas adecuadas. Aquí tienes algunos pasos sencillos que pueden ayudarte a reforzar tus defensas y reducir el riesgo de ataques de malware sin archivos.

• Capacita a tu personal. Muchos empleados carecen de un conocimiento adecuado de las ciberamenazas y tienen dificultades para identificar los vectores de ataque más frecuentes. La capacitación regular y las simulaciones de phishing por correo electrónico pueden mejorar considerablemente la seguridad de la empresa.
• Actualiza tu software. Posponer las actualizaciones de software es más común de lo que crees. Incluso el sector de IT está lleno de historias de terror sobre empleados que llevan varios años trabajando en una empresa y nunca han actualizado sus sistemas operativos. Los hackers adoran a estos procrastinadores porque pueden aprovechar un fallo en el software que se parcheó hace meses o incluso años. El adware es una función que también te ayudará a proteger tu dispositivo.
• Gestiona privilegios administrativos. Un empleado solo debe acceder a los recursos que necesita para realizar las tareas diarias. Si una persona con amplios privilegios administrativos es atacada, podría ser suficiente para comprometer toda la red. Sin embargo, si esa persona solo tiene acceso a ciertos recursos, el daño podría ser mucho menor.
• Usa un gestor de contraseñas. Usar la misma contraseña para todas tus cuentas es una forma fácil de perder tus datos valiosos. Si quieres crear contraseñas seguras y únicas, consigue un gestor de claves secretas como NordPass. Este guardará todas tus contraseñas de forma segura, las autocompletará y te ayudará a crear contraseñas únicas.
• Implementa soluciones de seguridad avanzadas. Si bien los dispositivos Windows tienen instalado software de seguridad nativo, no es suficiente para proteger la PC de todo tipo de malware. Usa un software adicional, como NordVPN, para proteger los dispositivos. La función Protección contra amenazas  Pro™ de NordVPN te garantiza que no accederás a sitios web maliciosos ni descargarás malware accidentalmente.