Secondo una nuova ricerca di McAfee Labs i criminali informatici utilizzano sempre più attacchi “fileless”, che sfruttano eseguibili affidabili di Windows per invadere i sistemi e violare le reti aziendali. Con gli attacchi fileless non viene installato alcun software sul computer degli utenti, rendendo estremamente difficile il rilevamento di un attacco.

Il malware fileless sfrutta il fattore di fiducia tra il software di sicurezza e le applicazioni Windows autenticate. Poiché questo tipo di attacco viene lanciato tramite eseguibili affidabili, gli attacchi fileless sono difficili da rilevare, spiega McAfee Labs.

Una particolare minaccia fileless, CactusTorch, che può eseguire shellcode personalizzato su sistemi Windows, è cresciuta rapidamente. È evidente, secondo il report di McAfee Labs, che un numero crescente di cybercriminali sta sviluppando questo tipo di attacco, grazie al suo successo tecnico e alla capacità di eludere i sistemi di rilevamento.

CactusTorch utilizza la tecnica NotNetToJScript, che carica ed esegue assembly .NET dannosi direttamente dalla memoria. Questi assembly sono la più piccola unità di distribuzione di un’applicazione. Come in altre tecniche di attacco fileless, DotNetToJScript non scrive alcuna parte dell’assembly .NET dannoso sull’hard disk del computer, e questo significa che i tradizionali file scanner non riescono a rilevare questi attacchi.

Sfruttando librerie .NET attendibili, questa classe di attacchi non scrive/carica il .NET Assembly sul disco. L’intero processo di caricamento ed esecuzione di codici dannosi avviene nella memoria in fase di esecuzione. Grazie a questo, la tecnica bypassa la maggior parte dei tradizionali sistemi di rilevamento basati sulla scansione di file.

La crescita della categoria di minacce “fileless” è stata evidenziata anche nel report sulle minacce del secondo trimestre di McAfee. Sono state scoperte molte campagne malware fileless che sfruttano Microsoft PowerShell per lanciare attacchi in memoria per creare una backdoor nel sistema. Nel 2018 l’aumento delgli attacchi fileless è stato del 432% rispetto al 2017.

Nel report “The State of Endpoint Security Risk” il Ponemon Institute stima che gli attacchi fileless abbiano una probabilità di successo dieci volte maggiore rispetto agli attacchi basati su file.