Inicio de zonavirus, antivirus
SATINFO

Malware sin archivos es una tendencia creciente, advierte McAfee

msc hotline sat
viernes, 03 de agosto de 2018

Malware sin archivos es una tendencia creciente, advierte McAfee

Relacionados: PowerShell - CactusTorch, PowerGhost



https://cdn.ttgtmedia.com/visuals/ComputerWeekly/Hero%20Images/security-malware-adobe_searchsitetablet_520X173.jpg

" border="0" hspace="10" vspace="10"/>





Los atacantes cibernéticos se están alejando cada vez más del malware tradicional para usar ejecutables confiables de Windows para invadir sistemas y violar redes corporativas, dicen investigadores de seguridad.



El malware sin archivos que se basa en herramientas del sistema como Microsoft PowerShell está ganando popularidad debido a que les permite a los atacantes acceder a las funciones de Windows sin ser detectado.







Muchos sistemas de seguridad tradicionales se basan en la detección de archivos de malware, pero si no hay ningún archivo de malware involucrado, estos sistemas se vuelven inútiles, lo que hace que los ataques sean muy difíciles de detectar.



PowerShell proporciona acceso completo al modelo de objetos componentes (COM) de Microsoft y a la instrumentación de administración de Microsoft Windows (WMI), lo cual lo vuelve una herramienta perfecta para lanzar un ataque.



Según los investigadores de McAfee, una amenaza particular sin archivos, llamada CactusTorch, ha crecido rápidamente y puede ejecutar shellcode personalizado en sistemas Windows.



Los investigadores han descubierto más de 30 variantes de CactusTorch, atribuyendo la velocidad de adopción rápida de la técnica de ataque a su éxito y capacidad de evadir la detección.



CactusTorch usa la técnica DotNetToJScript, que carga y ejecuta ensamblados .NET maliciosos directamente desde la memoria, escribió Debasish Mandal, investigador de seguridad de McAfee, en una publicación de blog.



"Estos conjuntos son la unidad más pequeña de implementación de una aplicación", dijo. "Al igual que con otras técnicas de ataque sin archivos, DotNetToJScript no escribe ninguna parte del ensamblado .NET malicioso en el disco duro de una computadora, por lo que los escáneres de archivos tradicionales no pueden detectar estos ataques".



Este tipo de ataque abusa de las bibliotecas .NET de confianza expuestas a través de COM, y en esta clase de ataque el ensamblado .NET malicioso (ejecutable) nunca se escribe/suelta en el disco. Todo el proceso de carga y ejecución de binarios maliciosos ocurre en la memoria en tiempo de ejecución. La técnica, por lo tanto, evita la detección más tradicional basada en escáner de archivos, dijeron los investigadores.



Los investigadores de Kaspersky Lab advirtieron recientemente sobre un nuevo malware sin archivos diseñado para secuestrar recursos informáticos corporativos para extraer criptomonedas para los ciberdelincuentes.



El malware, apodado PowerGhost, usa múltiples técnicas sin archivos para ganar un punto de apoyo en redes corporativas, lo que significa que el minero no almacena su cuerpo directamente en un disco, aumentando la complejidad de su detección y remediación, dijeron los investigadores de Kaspersky Lab.



"Durante la infección, se ejecuta un script de PowerShell de una sola línea que descarga el cuerpo del minero y lo inicia inmediatamente sin escribirlo en el disco duro", dijeron en una publicación de blog.



El crecimiento de la categoría de amenaza "sin archivos" se evidenció en el informe de amenazas de McAfee de marzo de 2018, que observó un aumento de cuatro veces en los ataques con scripts de PowerShell en 2017.



Se descubrieron muchas campañas de malware sin archivos que usaban PowerShell para lanzar ataques en la memoria para crear una puerta trasera en un sistema. Estos aumentaron en un 432% en 2017 en comparación con el año anterior y en un 267% en los últimos tres meses del año.



Campaign Gold Dragon se destaca como ejemplo, dijeron los investigadores de McAfee, porque fue personalizado para el ataque de los Juegos Olímpicos de Invierno, persistió en los sistemas infectados y ha aparecido en ataques posteriores, especialmente en servidores pirateados en Chile, apenas una semana después del incidente de los Juegos Olímpicos.



De acuerdo con el informe de Estado del riesgo de seguridad del punto final del Instituto Ponemon, se estima que los ataques sin archivos tienen 10 veces más probabilidades de tener éxito que los ataques basados en archivos.



Este tipo de ataque aprovecha el factor de confianza entre el software de seguridad y las aplicaciones de Windows auténticas y firmadas.



Debido a que este tipo de ataque se lanza a través de ejecutables confiables y confiables, los sistemas tradicionales de detección basados en listas blancas fallan drásticamente, dijeron los investigadores.



En un reciente artículo de Computer Weekly sobre ataques sin archivos, Greg Temm, director de riesgos de información del Financial Services - Information Sharing and Analysis Center (FS-ISAC), señaló que el malware sin archivos no es totalmente indetectable.



"Sin embargo, debe saber qué buscar para reducir sus probabilidades de infectarse o cómo limitar la propagación de la exposición, si su red está comprometida", dijo.



Las mejores prácticas generales para mantener su red y optimizar la seguridad incluyen monitorear registros de varios dispositivos en la red, como firewalls, dijo Temm.



"Este tipo de monitoreo debe hacerse de manera consistente para detectar el tráfico no autorizado en varios puntos a lo largo del día, como durante las pesadas cargas de trabajo o las horas pico", dijo. "Esto no solo le dará una mejor comprensión del flujo operativo de la red, sino que también ayudará a detectar actividad anormal de la red, que es un signo revelador de infección".





Ver información original al respecto en Fuente:

https://searchdatacenter.techtarget.com/es/noticias/252446131/Malware-sin-archivos-es-una-tendencia-creciente-advierte-McAfee

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2018 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto