Ameaça fantasma: como malware fileless usa a memória RAM para ficar indetectável
Quando você pensa em um vírus de computador, provavelmente imagina uma ameaça que chega por meio de um arquivo que se instala diretamente no disco rígido. Mas existe uma evolução dessa ameaça que pode passar completamente despercebida pelo sistema: o malware fileless. O que é malware? "Precisa de ajuda?" Novo malware tem até vídeo tutorial para te guiar no golpe Quase uma aparição fantasma, o malware sem arquivo (ou fileless, no original) é um tipo de software malicioso que opera na memória RAM do aparelho, sem precisar gravar arquivos diretamente no SSD e no HDD para iniciar uma ação danosa. É dessa maneira que ele consegue evitar ser detectado, como se fosse um ninja que entra furtivamente na sua casa para roubar usando a sua chave. Para os especialistas, a prática tem nome e sobrenome: Living off the Land, um ataque que utiliza ferramentas legítimas do sistema operacional para fins maliciosos. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- O que é um ataque “Living off the Land”? Podendo ser traduzido como “vivendo da terra”, ciberataques do tipo living off the land usam o próprio sistema invadido para emplacar golpes e outros atos criminosos. Isso significa que os hackers conseguem usar ferramentas legítimas pré-instaladas no dispositivo, como PowerShell e macros no Office, para provocar o caos executando comandos, sem precisar de agentes externos para dar continuidade ao ataque. Um ataque “Living off the Land” usa ferramentas do próprio sistema para agir maliciosamente (Imagem: Reprodução/Portnox). Nem mesmo ferramentas de segurança como antivírus conseguem barrar a ameaça, já que, para o sistema operacional, o comportamento suspeito parece legítimo. Afinal, quem está executando a ação é uma ferramenta confiável e não um arquivo malicioso que o usuário baixou por engano. O que é um ciberataque "living off the land"? Como o ataque funciona? Na prática, um ataque de malware fileless começa daquela forma clássica: e-mails de phishing, documentos com macro e sites falsos que contam com links maliciosos. O diferencial está na hora que do clique ou abertura do arquivo comprometido, já que a ação não instala um material corrompido no sistema. O que ocorre, na verdade, é que o link realiza um comando oculto, instruindo o prompt de comando ou o PowerShell a lançar um script diretamente na memória RAM. Dessa forma, o sistema recebe uma receita para praticar uma série de ações maliciosas que incluem roubo de dados, escalonamento de privilégios e instalação de payloads criptografados, apenas para citar alguns. Assim, o programa vai procurando materiais sensíveis do usuário, como senhas e registros pessoais, sobrevivendo até mesmo a uma eventual reinicialização do PC usando o registro do Windows para se manter ativo. Um malware fileless age como um fantasma na memória RAM do computador (Imagem: Reprodução/Andrei Ivan/Medium). Por que o malware fileless é tão perigoso? A grande carta na manga do malware fileless é que esse software é muito difícil de ser detectado, conseguindo passar despercebido até mesmo por ferramentas de segurança. Isso ocorre porque, como não há arquivo para ser escaneado, recursos como antivírus, cujos modelos tradicionais costumam agir com base em comparações entre arquivos no disco rígido do PC e uma lista de malwares já conhecidos e pré-identificados, não conseguem detectá-los, ficando “cegos” para essas ameaças. Outro problema envolvendo o malware sem arquivo é a dificuldade que especialistas costumam ter para encontrar evidências desses ataques. Afinal, quando o computador é desligado, grande parte das indicações que poderiam surgir do comprometimento do sistema acaba desaparecendo. Exemplos de casos reais Alguns casos da vida real podem ajudar a explicar o estrago que um malware fileless pode provocar na vida dos usuários comuns e de empresas. A Equifax, por exemplo, tradicional companhia de crédito nos EUA, passou por uma violação massiva de segurança em 2017 que se tornou um dos incidentes digitais mais graves da história. O ataque envolveu a exploração de uma vulnerabilidade no software Apache Struts, cuja execução de um código malicioso na memória resultou na coleta de informações sensíveis de mais de 40% da população dos Estados Unidos, incluindo nomes completos, endereços, números de segurança e mais. Ao todo, cerca de 147,9 milhões de pessoas tiveram seus dados vazados, com 200 mil tendo dados de cartão de crédito expostos. Um malware fileless pode causar estragos gigantescos para empresas e usuários comuns (Imagem: Reprodução/Forbes Brasil). Para além do caso da Equifax, malwares sem arquivo também são usados por grupos de ransomware, que conseguem aplicar técnicas do tipo contra empresas, criptografando arquivos confidenciais encontrados na rede corporativa. Trojans bancários são outras ameaças que usam scripts na memória para roubar credenciais sem que o sistema de segurança do banco seja ativado. Como identificar e se proteger do malware fileless Embora pareça uma missão impossível à primeira vista, um malware fileless não é exatamente imbatível ou invisível. Um sistema danificado pode apresentar alguns sinais de infecção, como comportamentos suspeitos envolvendo uma lentidão misteriosa, pop-ups inexplicáveis, movimentos inesperados do mouse e programas que abrem e fecham sozinhos, por exemplo. Felizmente, existem algumas práticas de proteção digital que podem te ajudar a se prevenir desses ataques, mantendo a integridade das suas ações no ambiente online. Confira a seguir as quatro principais dicas para ficar de olho e se proteger:
Atualize softwares constantemente. Praticar a atualização de programas no seu computador é fundamental para corrigir falhas de segurança, melhorando também o desempenho dos sistemas. Assim, você terá uma experiência melhor, fechando brechas que podem resultar na injeção de código malicioso.
Tenha cuidado com macros. Aqui, vale prestar atenção para nunca habilitar macros em documentos que chegam até você por meios desconhecidos, evitando assim uma dor de cabeça.
Use ferramentas que analisam o comportamento do sistema. Considerando que o malware fileless não tem arquivo, é preciso usar recursos que vão além disso. Afinal, se o PowerShell começa a enviar dados para um IP na Rússia, por exemplo, isso pode ser um comportamento suspeito.
Desative o que não for necessário. Caso você não use o PowerShell ou WMI na sua rotina de uso online, desative-os e aplique restrições mais robustas. Para além disso, é fundamental seguir praticando a higiene digital no seu dia a dia, desconfiado de todo e qualquer comportamento estranho ou mensagens duvidosas que chegam até você. Até porque, mesmo que a tecnologia continue desenvolvendo ferramentas mais fortes para combater ameaças, os criminosos seguem evoluindo suas táticas para burlar essas medidas, agindo como aquele fantasma vingativo que se recusa a partir. Leia também: Malware para Android “sequestra” celular e espia vítima pela câmera Google expõe malware que espionou usuários por 3 anos sem ninguém notar Malware evolui e usa IA para criar vírus que ataca via WhatsApp Web no Brasil Leia a matéria no Canaltech.