Bomber Code

Me creen si les digo que existe malware que no requiere archivos para infectarte y funcionar? Se llama "fileless malware", traducido al español malware sin archivo, y te cuento como funciona esta pieza en particular. Se llama nJRAT y se propaga con un script (entregado en forma de .vbs o por browser scripts), pero a diferencia del resto del malware, no descarga mas archivos o requiere un archivo en la carpeta de Windows para seguir funcionando.

Esta amenaza primero lanza vbscript.exe para ejecutar el script y acto seguido conhost.exe. Inmediatamente inyecta el proceso de Windows MSBUILD.exe (process hollowing) y se deposita en la memoria operativa. Crea un archivo autorun que se inicia junto con Windows para poder inyectar el mismo proceso una y otra vez cada vez que el sistema se inicia.

Al ser fileless malware, y tener únicamente como indicio, MSBUILD.exe inyectado, ningún antivirus tradicional puede eliminarlo sin romper Windows y dejarlo casi inutilizable. En cuanto la amenaza, es RAT malware. Remote Access Trojan, troyanos informáticos del tipo backdoor, sirven para espiar y hasta controlar remotamente una PC. La -casi- única manera de que no joda es la prevención, ya que deshacerse de él es bastante complicado, y las opciones para eso son:

• Que tu antivirus lo tenga en la base de datos y lo bloque apenas descargado
• Un anti-ejecutable que lo bloquee desde un inicio y sus autorun
• Un firewall bi-direccional que pueda limitar su entrada y salida de información de red para evitar el espionaje (aunque no quitaría el malware).

Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.