Autor Tema: Fileless malware [Aporte]  (Leído 361 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 899
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Fileless malware [Aporte]
« el: 01 Abril de 2018, 10:47 am »


¿Me creen si les digo que existe malware que no requiere archivos para infectarte y funcionar? Se llama "fileless malware", traducido al español malware sin archivo, y te cuento como funciona esta pieza en particular. Se llama nJRAT y se propaga con un script (entregado en forma de .vbs o por browser scripts), pero a diferencia del resto del malware, no descarga mas archivos o requiere un archivo en la carpeta de Windows para seguir funcionando.

Esta amenaza primero lanza vbscript.exe para ejecutar el script y acto seguido conhost.exe. Inmediatamente inyecta el proceso de Windows MSBUILD.exe (process hollowing) y se deposita en la memoria operativa. Crea un archivo autorun que se inicia junto con Windows para poder inyectar el mismo proceso una y otra vez cada vez que el sistema se inicia.

Al ser fileless malware, y tener únicamente como indicio, MSBUILD.exe inyectado, ningún antivirus tradicional puede eliminarlo sin romper Windows y dejarlo casi inutilizable. En cuanto la amenaza, es RAT malware. Remote Access Trojan, troyanos informáticos del tipo backdoor, sirven para espiar y hasta controlar remotamente una PC. La -casi- única manera de que no joda es la prevención, ya que deshacerse de él es bastante complicado, y las opciones para eso son:
  • Que tu antivirus lo tenga en la base de datos y lo bloque apenas descargado
  • Un anti-ejecutable que lo bloquee desde un inicio y sus autorun
  • Un firewall bi-direccional que pueda limitar su entrada y salida de información de red para evitar el espionaje (aunque no quitaría el malware).

Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.