Si pensaba que instalar accidentalmente malware en su PC era malo, espere a descubrir el malware sin archivos, un intruso sigiloso que no deja rastro en su unidad de almacenamiento.
El malware tradicional es más fácil de eliminar una vez detectado, ya que tiene archivos visibles en la unidad de almacenamiento para que el antivirus los escanee y elimine. El malware sin archivos funciona enteramente desde la memoria del PC (RAM), por lo que es mucho más difícil detectarlo.
En este post, le contaré todo lo que necesita saber sobre el malware sin archivos y cómo protegerse contra él.
¿Qué es el malware sin archivos?
El malware sin archivos es un fragmento de código malicioso que se ejecuta a sí mismo desde la memoria del sistema. Principalmente busca vulnerabilidades en aplicaciones legítimas y luego las compromete para ejecutarse a sí mismo. En raras ocasiones, puede abrir sus propios procesos maliciosos para ejecutar funciones.
Dado que los antivirus suelen analizar los archivos/programas descargados e instalados, el malware sin archivo es mucho más difícil de detectar, ya que no tiene un archivo asociado. Las funciones maliciosas que puede realizar son similares a las de la mayoría de los demás malware; la principal diferencia es cómo reside en el PC.
¿Cómo infecta el dispositivo el malware sin archivos?
Al igual que la mayoría de los demás tipos de malware, el malware sin archivos también se propaga principalmente a través de enlaces maliciosos en el spam de correo electrónico, sitios web maliciosos o ataques de ingeniería social. Sin embargo, difiere en la ejecución, ya que busca vulnerabilidades en los programas del PC o en el propio sistema operativo.
Entre las aplicaciones vulnerables más comunes se encuentran Powershell, Windows Management Instrumentation (WMI), el navegador y cualquier complemento vulnerable instalado. Aprovecha la vulnerabilidad para inyectar código malicioso en el programa legítimo y ejecutar tareas de acuerdo con su propósito.
Por ejemplo, un Powershell infectado puede ejecutar comandos a nivel de administrador para robar datos o cifrar datos importantes.
También puede utilizar el «vaciado de procesos» para vaciar el contenido de un proceso legítimo y luego llenarlo con su código malicioso para que funcione bajo su nombre.
PowerGhost es un buen ejemplo de ataque de malware sin archivos que utilizó WMI y Powershell para minar criptomonedas en PCs corporativos sin ser detectado.
¿Qué amenazas plantea el malware sin archivos?
Como he dicho antes, el malware sin archivos puede realizar la mayoría de las tareas similares al malware que reside en el almacenamiento del PC. Todo depende del propósito para el que se codificó el malware sin archivos y de qué vulnerabilidad aprovecha.
Entre las funciones maliciosas más comunes que puede llevar a cabo se incluyen el robo de datos, el robo de credenciales, la encriptación de datos, la monitorización de la actividad, el keylogging, la minería de criptomonedas, los ataques DDoS y la alteración de la configuración de seguridad para ataques posteriores.
Para que se haga una mejor idea, a continuación enumero anteriores ataques de malware sin archivos a gran escala:
PowerWare: Se trataba de un tipo de ransomware que utilizaba Powershell para ejecutar comandos de forma sigilosa con el fin de bloquear archivos importantes e intentar simular que están cifrados. Después, solicita el pago en criptomoneda.
PowerSniff: Se propagó aprovechando la configuración de seguridad de Microsoft Word para ejecutar una macro enviada como documento. La macro registraba el PC y robaba credenciales.
TrickBot: Aunque no es un malware totalmente sin archivos, TricktBot cargaba sus módulos en la memoria en una de sus versiones avanzadas. El objetivo principal del malware era robar credenciales financieras.
Netwalker Ransomware: Es otro ransomware que utiliza tácticas sin archivos, pero su cifrado es real. Sustituyó procesos legítimos de Microsoft por código malicioso para ocultarse y ejecutar comandos.
¿Cómo detectar el malware sin archivos?
Dado que el malware sin archivos se basa en ser sigiloso, es realmente difícil detectarlo. Si cree que ha hecho clic en un enlace malicioso y su PC ha sido infectado, hay algunas cosas que puede hacer para adivinarlo y adoptar medidas de protección.
A continuación encontrará algunas pistas comunes en las que fijarse:
Comportamiento inusual del sistema: El malware sin archivos puede introducir comportamientos inusuales como la apertura y cierre de ciertas aplicaciones, la congelación del PC, bloqueos o reinicios, etc.
Una ralentización del rendimiento: Es posible que note una disminución repentina del rendimiento general del sistema. También puede provocar congelaciones.
Actividad inusual de la red: Junto con una ralentización del rendimiento de la red, podría notar un tráfico inusual hacia un dominio al que no tenía acceso. Siempre recomiendo GlassWire para el análisis de la red.
Uso elevado de la CPU de un proceso: Abra el Administrador de tareas y compruebe si un proceso inusual está utilizando demasiados recursos de la CPU. Un proceso comprometido suele utilizar mucha CPU incluso cuando no está en uso activo.
Cambios en la aplicación antivirus: El malware Fileless puede intentar desactivar su software antivirus para hacer que el PC sea vulnerable a más tipos de ataques de malware.
Aparte de éstos, también debería utilizar un antivirus que tenga incorporadas funciones de detección de comportamientos para atrapar el malware sin archivos. Tales antivirus pueden detectar comportamientos inusuales en aplicaciones y procesos para detectar si están infectados.
Para ello, Kaspersky Antivirus cuenta con herramientas dedicadas de protección contra malware sin archivos que no sólo detectan comportamientos inusuales, sino que también analizan funciones sensibles de Windows como WMI o el Registro de Windows en busca de código malicioso. Kaspersky también tiene un largo historial de descubrimiento de ataques populares de malware sin archivos.
¿Qué hacer si su dispositivo se ha infectado?
Si cree que su PC se ha infectado, es muy probable que ya sea demasiado tarde. Si el malware pretendía robar algo, probablemente ya lo haya hecho.
Sin embargo, su primera línea de defensa es apagar el PC por completo y volver a encenderlo. Dado que la RAM es una memoria volátil, se borra por completo cuando el PC se apaga. Esto eliminará el malware sin archivos automáticamente, con suerte, antes de causar ningún daño.
Por desgracia, la mayoría del malware sin archivos tiene métodos incorporados para sobrevivir a un reinicio, como cargar el código en una entrada del Registro. Si es posible, intente iniciar el PC en modo seguro y, a continuación, siga los siguientes métodos:
#1. Escanear con un antivirus
De nuevo, necesitará una aplicación antivirus que disponga de las herramientas necesarias para protegerle contra el malware sin archivos. Kaspersky sigue siendo mi recomendación para encontrar los cambios realizados por el malware sin archivos. Sin embargo, también puede probar Malwarebytes, que cuenta con detección de comportamiento basada en IA para malware sin archivos.
#2. Utilice Restaurar sistema
Restaurar sistema puede revertir el PC a un estado anterior en el tiempo y restablecer todos los cambios realizados en él. Dado que está activado por defecto en todos los PC con Windows, también debería estarlo en el suyo, a menos que lo haya desactivado usted mismo.
Sólo tiene que escribir Recuperación en la Búsqueda de Windows para abrir Restaurar sistema. Aquí verá todos los puntos de restauración guardados actualmente a los que puede volver. Simplemente elija el anterior a la infección del malware para arreglar todos los cambios.
#3. Reinicie el PC
Si no tenía un punto de restauración, entonces reiniciar el PC también puede arreglar todos los daños conservando los datos locales. Sin embargo, un reinicio borrará todos los programas instalados en el PC, así que asegúrese de que no tiene ningún dato importante guardado en ellos.
En la Configuración de Windows, vaya a Sistema > Recuperación y haga clic en Reiniciar PC. En la ventana emergente, haga clic en Conservar mis archivos y siga las instrucciones para restablecer.
¿Cómo protegerse contra el malware Fileless?
La mayoría de las medidas que protegen contra el malware normal también protegen contra el malware sin archivos. Sólo tiene que asegurarse de instalar un antivirus con detección de comportamientos y no descargar ni hacer clic en contenidos maliciosos.
Sin embargo, hay algunas medidas de protección que son más importantes para protegerse contra el malware sin archivos. Las enumero a continuación:
Mantenga actualizados el sistema operativo y las aplicaciones
El malware sin archivos depende en gran medida de las vulnerabilidades de seguridad de las aplicaciones y del sistema operativo. Debe asegurarse de que su sistema operativo dispone de las últimas actualizaciones de seguridad y de que todas las aplicaciones están al día. Muchas de estas actualizaciones contienen correcciones de vulnerabilidades que el malware sin archivos puede aprovechar.
Tenga cuidado con las extensiones del navegador
El malware sin archivos también puede infectar extensiones del navegador con vulnerabilidades. Asegúrese de descargar únicamente extensiones de navegador fiables y de buena reputación y manténgalas actualizadas. En caso de infección, se recomienda reinstalar las extensiones para asegurarse de que no son las culpables.
Vigile la red
Casi todos los programas maliciosos sin archivos establecen conexiones de red con sus propios servidores para realizar su trabajo. Una herramienta como GlassWire no sólo puede ayudarle a ver las conexiones sospechosas, sino también a bloquearlas automáticamente, gracias al cortafuegos incorporado. Le recomendaré que configure notificaciones en ella para recibir siempre un aviso cuando se detecte una conexión sospechosa.
Aumente la seguridad en el Control de cuentas de usuario (UAC)
Puede configurar el UAC de Windows para que le notifique siempre que usted o una aplicación realicen algún cambio en el sistema. Puede hacer las cosas un poco molestas debido a la notificación en cada cambio, pero puede aumentar en gran medida la seguridad contra el malware oculto como el malware sin archivos.
Busque UAC en la Búsqueda de Windows y haga clic en Cambiar configuración de Control de cuentas de usuario. Aquí ajuste la barra de seguridad en la parte superior.
Aplique una solución de seguridad para puntos finales
Para las empresas, una solución de seguridad para puntos finales puede proteger todos los PC de una red centralizando la seguridad. Incluso si un dispositivo se infecta, los demás dispositivos de la red permanecerán seguros, y la solución de seguridad puede ayudar a reparar el dispositivo infectado. Sus actualizaciones también son en tiempo real, por lo que las vulnerabilidades se parchean inmediatamente cuando se solucionan.
CrowdStrike es una buena solución para este fin que ofrece protección basada en IA contra los ciberataques. También cuenta con una función dedicada de escáner de memoria para la protección contra malware sin archivos.
Reflexiones finales 🖥️🦠
El malware sin archivos se encuentra sin duda entre los ataques de malware más ingeniosos. A veces, los hackers incluso los utilizan como parte de su gran ataque para obtener acceso inicial o debilitar el sistema. Sinceramente, la mayoría de estos ataques pueden evitarse fácilmente si mantenemos nuestra curiosidad bajo control y no hacemos clic en nada sobre lo que tengamos dudas.
A continuación, también puede leer cómo escanear y eliminar malware de teléfonos Android e iOS.