¿Me creen si les digo que existe
malware que no requiere archivos para infectarte y funcionar? Se llama "
fileless malware", traducido al español malware sin archivo, y te cuento como funciona esta pieza en particular. Se llama
nJRAT y se propaga con un script (entregado en forma de
.vbs o por
browser scripts), pero a diferencia del resto del malware, no descarga mas archivos o requiere un archivo en la carpeta de Windows para seguir funcionando.
Esta amenaza primero lanza
vbscript.exe para ejecutar el script y acto seguido
conhost.exe. Inmediatamente inyecta el proceso de
Windows MSBUILD.exe (process hollowing) y se deposita en la memoria operativa. Crea un archivo autorun que se inicia junto con Windows para poder inyectar el mismo proceso una y otra vez cada vez que el sistema se inicia.
Al ser fileless malware, y tener únicamente como indicio,
MSBUILD.exe inyectado, ningún antivirus tradicional puede eliminarlo sin romper Windows y dejarlo casi inutilizable. En cuanto la amenaza, es RAT malware. Remote Access Trojan, troyanos informáticos del tipo backdoor, sirven para espiar y hasta controlar remotamente una PC. La -
casi- única manera de que no joda es la prevención, ya que deshacerse de él es bastante complicado, y las opciones para eso son:
- Que tu antivirus lo tenga en la base de datos y lo bloque apenas descargado
- Un anti-ejecutable que lo bloquee desde un inicio y sus autorun
- Un firewall bi-direccional que pueda limitar su entrada y salida de información de red para evitar el espionaje (aunque no quitaría el malware).
Saludos Familia!
Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.