El malware que no necesita descargar archivos

Estamos habituados a hablar de la evolución de las amenazas teniendo en mente el uso de la inteligencia artificial generativa para generar mensajes de phishing más sofisticados o la existencia de plataformas de Crimen como Servicio. Pero hay otras mejoras en las ciberamenazas que también suponen un quebradero de cabeza. Es el caso del malware que opera desde la memoria RAM de un sistema, sin necesidad de decargar y ejecutar archivos maliciosos.

Es más difícil de detectar porque no deja rastros físicos y además suelen aprovechas vulnerabilidades del sistema y programas ya instalados. ESET da algunos ejemplos, como Astaroth, que robó información a través de correos electrónicos maliciosos, aprovechando herramientas de Windows como BITSAdmin y Alternate Data Streams; o Koyter, que almacenaba su código malicioso cifrado en el registro de Windows.

La compañía señala que, para combatir este tipo de amenazas, las soluciones de seguridad utilizan enfoques multicapa. También son útiles los sistemas de prevención de intrusiones y la inspección profunda del comportamiento. Junto a estos elementos, hay que tener en cuenta las medidas habituales, como mantener el software actualizado, no hacer clic en enlaces sospechosos, utilizar contraseñas seguras, implementar la autenticación multifactor o restringir el uso de privilegios administrativos.

Josep Albors, director de investigación y concienciación de ESET España, explica que, “utilizando herramientas legítimas del sistema, como PowerShell o servicios internos de Windows, el malware sin archivos puede ejecutar su código malicioso sin que el usuario se percate. De esta manera, las defensas tradicionales de los endpoints, que dependen del escaneo de archivos, no siempre son suficientes para detener estas amenazas”.