Malware fileless: la vera minaccia informatica del 2021

La nuova frontiera degli attacchi informatici costituisce una nuova e letale categoria di virus: spaventano le aziende italiane e fanno cadere nel panico gli IT in questo 2021.

Parliamo proprio dei malware fileless, nei quali rientrano virus come Astaroth e Rozena.
Nel nuovo report sulle minacce del 2021 di Avira, infatti si legge tra i nuovi trend la presenza dei malware fileless come minaccia in rapida ascesa.

Ma di cosa si tratta?

Scopriamo insieme a voi le caratteristiche di questi nuovi attacchi informatici e di come sia divenuto sempre più difficoltoso identificarli con i sistemi di rilevazione.

Un malware fileless (o malware in memory) da definizione è un virus che non usa file per installarsi sull’hard disk del computer. Si tratta sempre di un virus informatico ma che al contrario dei normali malware, attacca il sistema di memoria del dispositivo.
In molti casi, i malware senza file attaccano proprio la RAM.

I virus fileless sfruttano i processi di software, le vulnerabilità di applicazioni web-based e protocolli di sistema già presenti e integrati per eseguire azioni dannose.
Ciò che si prospetta in futuro per questo genere di infezioni è che, i malware fileless ricorrono sempre più spesso alla presenza di bug e vulnerabilità software di software leciti per insediarsi nel sistema.

Ecco per quale motivo vengono identificati come la minaccia informatica del momento.

A completare la definizione malware fileless, possiamo dirvi che questo genere di infezioni si differenziano dai normali virus informatici perché sono estremamente complesse da identificare, anche per un antivirus aggiornato.

I virus di questa categoria spesso sfruttano le vulnerabilità dei software già presenti sul pc e non danno alcun segnale della loro presenza. I normali antivirus in commercio non sono capaci di rilevare la minaccia nella maggior parte dei casi.

Pertanto, un malware fileless è perfettamente in grado di:

1. Sottrarre informazioni;
2. Modificare i permessi amministratore;
3. Trasportare malware più complessi a bordo macchina;

tutto questo senza che il vostro sistema ne dia chiari segnali.

Per aiutarvi nel comprendere la difficile e complessa categoria dei malware senza file vi parleremo della differenza sostanziale tra questi ultimi e i malware tradizionali.

I malware più tradizionali vengono eseguiti sul dispositivo attraverso file .exe. In questo modo, per un software antivirus risultava semplice identificare la minaccia e bloccarla.

Al contrario, un malware fileless non si serve di alcun payload.

Secondo una recente indagine del SOC di Onorato Informatica, le tipologie di malware fileless più diffuse e per le quali vale la pena mettersi in serio stato di allarme sono:

1. Virus fileless con tecniche scripting: in altre parole, sono letteralmente parti di codice dannoso camuffate per infettare il sistema bersaglio;
2. In- Memory code injection: tecnica più diffusa. L’attaccante crea una porzione di codice infetto che si nasconde in software vulnerabili (ma legittimi). In questo caso il codice si nasconde nella memoria del software e si propaga autonomamente .
3. Virus fileless nel registro di Windows: in questo caso, l’hacker invia un link alla vittima. Se la vittima clicca sul link, il virus sfrutta i processi di Windows per eseguirsi.

La storia dei malware fileless, contrariamente a quanto si pensi, parte nei primi anni ’80.

Il primo virus senza file è stato creato da Fred Coher che ne ha coniato addirittura il termine. Sin dalla nascita, i malware fileless vengono creati con l’intento di inserirsi nella memoria dei dispositivi.

Dalla loro nascita ad oggi, esistono diverse varianti dei virus fileless tra i quali si ricorda: Frodo virus, The Dark Avenger virus, Anthrax virus, Monxla malware e molti altri.

Mettiamoci nell’ordine di idee che all’hacker non piace generare caos.

O meglio, non dobbiamo pensare ad un hacker, come ad un soggetto a cui piace far parlare di sè e delle sue bravate.

Nella realtà di tutti i giorni i bravi criminali informatici mirano a raggiungere l’obiettivo senza dare nell’occhio. Che si tratti di sottrarre dati sensibili, file, informazioni non importa. L’hacker veramente bravo nel suo lavoro cercherà di lavorare in sordina: minore è la possibilità che la vittima si accorga di quel che gli sta capitando, minore sarà l’eco generato dall’attacco e ancor meno sarà il dispiego di forze in campo.

A maggior ragione, un malware fileless permette all’hacker di lavorare in condizioni ottimali. Arriviamo al dunque,

perché scegliere i virus fileless?

• permettono di operare in memoria o nel registro: sostanzialmente senza dare grossi sospetti;
• non richiedono l’installazione di tool o file;
• sono eseguibili in modo semplice;
• non hanno attività persistente;

Quasi sempre un attacco fileless ha inizio con le seguenti metodologie:

• Esecuzione exploit;
• Brute force;
• Attacchi script.

Uno degli esempi più famosi di malware fileless è Rozena.

Rozena virus nasce nel 2018 e arriva alla sua versione definitiva nel 2018. Il malware è in grado di creare un backdoor che apre una connessione shell remota. Ma la cosa più eclatante è che Rozena, per ingannare l’utente si palesa come icona di Microsoft Word.

Un altro esempio di virus senza file di cui vogliamo parlarli è il virus NetWalker.
Al contrario di rozena, NetWalker è un ransomware fileless. Il virus anche in questo caso utilizza PowerShell unito ad una tecnica di attacco che gli permette di eseguirsi direttamente nella memoria del dispositivo senza toccare l’hard disk. Il ransomware di cui parliamo è addirittura in grado di attaccare i dispositivi Black Berry.

In funzione del fatto che esistono diverse tipologie di malware fileless, è anche complesso stabilire come queste infezioni colpiscono.

Nel complesso, possiamo stabilire che questi malware arrivano su un computer tramite:

1. hardware e software compromessi;
2. esecuzione regolare di applicazioni;
3. esecuzione di script;
4. exploit.

Sconfiggere la problematica dei malware fileless è diventata una delle principali missioni del settore cyber security negli ultimi anni.

Un sistema efficace di prevenzione e difesa dagli attacchi di virus fileless è il monitoraggio del bug di sistema. Questo servizio viene chiamato anche Vulnerability Assessment e si tratta di un’analisi continuativa dello stato di sicurezza della rete e dei software presenti sui dispositivi. Un Vulnerability Assessment è in grado di identificare le vulnerabilità (ovvero i punti deboli) della rete e dei dispositivi che possono essere sfruttati dai malware fileless.

Solo dopo avere effettuato un test di sicurezza informatica saremo in grado di implementare un sistema Endpoint capace di identificare le minacce più recenti e basate su tecnologie fileless.

Esistono 5 facili tecniche con le quali chiunque tra di noi, utenti e aziende comprese, può in modo semplice provare a prevenire l’azione dei malware fileless.
Ecco quali sono i preziosi consigli riservati ai lettori del nostro blog:

• eseguire con costanza gli aggiornamenti del sistema operativo;
• non aprire gli allegati sospetti alle email
• il vostro tecnico informatico dovrà controllare con costanza il monitoraggio della memoria di sistema
• non scaricare e eseguire software scaricati da web
• scansionare con appositi programmi i file scaricati da internet

Fate in modo che i normali utenti che accedono ad un sistema informatico abbiamo un account standard e in questo caso ci rivolgiamo agli IT manager, assicuratevi che gli script possano essere eseguiti solo dietro firma digitale.

In questo articolo abbiamo parlato di novità e innovazione.

I malware fileless vengono considerati dal nostro SOC security interno una vera sfida per il 2021. Ci auguriamo di avervi fatto conoscere parte del nuovo mondo dei pericoli informatici perché possiate essere consapevoli di ciò che ogni giorno mettete in gioco.

La miglior soluzione per mantenere sicura una rete informatica e con essa anche tutti i dispositivi è partire dalla prevenzione. Lato tecnico, il miglior sistema di monitoraggio della sicurezza informatica è un test che viene chiamato dai tecnici Vulnerability Assessment.

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci!