Os ataques ‘fileless’, ou seja, sem uso de arquivos, são de prevenção complexa porque não exige qualquer software instalado antes de causar danos, não deixam rastros e podem se passar desapercebidos pelos softwares antivírus, gerando falsos positivos.
A ESET revisa as principais características dos ataques ‘fileless’, e as melhores formas de se prevenir.
1. Escondem-se em softwares confiáveis
O ‘fileless’ acontece através da memória no lugar de usar arquivos executáveis, burlando tecnologias de prevenção. Os ataques podem inclusive usar ferramentas da Microsoft, como o PowerShell ou o Windows Management, aumentando os riscos de infecção.
2. Roubam nomes de usuário e senha
Os ataques exploram falhas entre a segurança tradicional e as soluções tecnológicas, e o problema começa com as más práticas de segurança. Uma vez que o processo começa através de um código executado via phishing, uma conexão é estabelecida a um servidor remoto, que obtém acesso ao PowerShell, que faz o download de mais códigos e comandos que serão executados no computador. Uma vez em funcionamento, nomes de usuário e senhas são roubadas.
3. Contas pessoais e administrativas são os alvos mais fáceis
Quanto mais usuários partilharem dados em uma rede, maior o potencial de vulnerabilidades. O ideal é restringir acessos e o uso de recursos, permitindo que os usuários desempenhem essas funções apenas quando necessário, mantendo senhas fortes e seguras.
4. Senhas abandonadas podem ser uma mina de ouro
Se um ciberciminoso tiver acesso à conta de um funcionário ou cliente antigo, os problemas podem ser sérios. Os acessos indevidos podem demorar até serem neutralizados, e quanto mais o tempo passar, mais grave fica a situação. Certifique-se que as senhas sem uso são definitivamente canceladas e rastreie os acessos aos dados sensíveis.
5. O ‘fileless não é uma novidade
Tanto o Code Red como o Slammer, e até ataques efetuados pelo grupo Fin7 se valeram do fileless. A única diferença é que todas as etapas do processo eliminam o uso de arquivos.
É essencial entender que nem todas as ameaças são malwares, mas é importante revisar as práticas de segurança constantemente, além de educar usuários e funcionários de uma empresa, a ponto que eles sejam capazes de perceber, interceptar e evitar as tentativas de ataque.