Anatomía de un ataque sin archivos
El uso de malware sin archivos definitivamente está en aumento, y es utilizado tanto por actores de amenaza dirigida como por cibercriminales.
Investigadores de Trend Micro están interesados en explicar la existencia de malware que no tiene archivos, únicamente mientras ingresa al equipo un usuario que eventualmente es descubierto cuando ejecuta su payload. También existen ataques de malware completamente sin archivos, donde toda la cadena de infección ocurre de este modo.
Un ejemplo comienza con un troyano de tipo downloader denominado JS_POWMET.
El ataque
No saben cómo llega a las computadoras Windows, aunque sospechan que es descargado por los propios usuarios de sitios maliciosos o bien es cargado al equipo por otro malware (a través de un registro automático creado por él).
De hecho, el último enfoque es casi seguro, ya que los investigadores han identificado un registro específico que ya ha sido cambiado al momento en que el malware se descarga en el sistema.
La cadena de infección que comienza con su llegada se ve así:
Como se indicó anteriormente, el registro autostart busca un XML con el código malicioso en JavaScript de una URL especificada y ejecuta la secuencia de comandos sin guardar el archivo XML en el sistema (esto sucederá cada vez que se inicie la máquina afectada).
Una vez que se ejecuta JS_POWMET, descarga otro archivo: TROJ_PSINJECT, un script de Powershell que se ejecuta bajo un proceso de Powershell.
TROJ_PSINJECT se conecta a un dominio .ru y descarga un archivo de apariencia normal llamado favicon, lo descifra (como resultado se obtiene un archivo DLL malicioso conocido como BKDR_ANDROM) y lo inyecta en el proceso powershell.exe sin guardarlo en la máquina.
BKDR_ANDROM reúne datos del sistema comprometido como la versión del sistema operativo, la dirección IP, el número de serie del volumen raíz y si se cuenta con privilegios de administrador y lo envía a un servidor remoto, lo que hace probable que esta infección sea parte de una operación de reconocimiento. Sin embargo, la carga útil final se puede cambiar fácilmente para adaptarse a las necesidades de los atacantes.
Qué significa para el futuro
"Mientras que JS_POWMET y el resto de los archivos descargados son relativamente ligeros en términos de impacto, este malware demuestra la amplitud que los ciberdelincuentes tienen para evitar la detección y el análisis. También muestra que incluso los métodos relativamente infrecuentes de infección que involucran malware sin archivos evolucionan continuamente", señalaron los investigadores, agregando que las organizaciones y los usuarios deben estar siempre atentos a malware" furtivo "que logre pasar inadvertido al sistema.
"Uno de los métodos más eficaces para mitigar los efectos del malware sin archivos sería limitar el acceso a la infraestructura crítica a través de sistemas basados en contenedores que separan los puntos finales de las partes más importantes de la red", aconsejaron.
"Para este malware específico, los profesionales de TI también podrían considerar deshabilitar Powershell para ayudar a mitigar los efectos de JS_POWMET y sus diversas cargas".