Se pensavi che l’installazione accidentale di malware sul tuo PC fosse dannosa, attendi di scoprire il malware senza file, un intruso furtivo che non lascia traccia sull’unità di archiviazione.
Il malware tradizionale è più facile da rimuovere una volta rilevato poiché ha file visibili sull’unità di archiviazione che l’antivirus può scansionare ed eliminare. Il malware senza file funziona interamente dalla memoria del PC (RAM), quindi è molto più difficile rilevarlo.
In questo post ti dirò tutto ciò che devi sapere sul malware senza file e su come proteggerti.
Sommario:
Cos’è il malware senza file?
SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700GjA+HdwKzYWtycMOM66B4NIbK6mq4Uo92zW9CYA 6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwKWpXD0MoyoWDJXS3Uom9Va1Gb+ns5c2ZoL2Nq7w3hwpY+50 VfHEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAXforRzzPBLZlI344LJ+3S9VM7zcuwYrHgkWA4/OsPAAD//wMAPsDJtpgCAAA=
Il malware senza file è un codice dannoso che viene eseguito automaticamente dalla memoria del sistema. Cerca principalmente le vulnerabilità nelle app legittime e poi le compromette per eseguirsi autonomamente. In rari casi, potrebbe aprire i propri processi dannosi per eseguire funzioni.
Poiché l’antivirus solitamente esegue la scansione di file/programmi scaricati e installati, il malware senza file è molto più difficile da rilevare poiché non ha un file associato. Le funzioni dannose che può eseguire sono simili a quelle che può eseguire la maggior parte degli altri malware; la differenza principale è come risiede nel PC.
In che modo il malware senza file infetta il dispositivo?
Come la maggior parte degli altri tipi di malware, anche il malware fileless si diffonde principalmente attraverso collegamenti dannosi contenuti in e-mail di spam, siti Web dannosi o attacchi di ingegneria sociale. Tuttavia differisce nell’esecuzione poiché cerca le vulnerabilità nei programmi del PC o nel sistema operativo stesso.
Le app vulnerabili più comuni includono Powershell, Strumentazione gestione Windows (WMI), il browser e qualsiasi plug-in vulnerabile installato. Sfrutta la vulnerabilità per inserire codice dannoso nel programma legittimo ed eseguire attività in base al suo scopo.
Ad esempio, un Powershell infetto può eseguire comandi a livello di amministratore per rubare dati o crittografare dati importanti.
Fonte immagine: TrendMicro
Può anche utilizzare il “process svuotamento” per svuotare il contenuto di un processo legittimo e quindi riempirlo con il suo codice dannoso per funzionare sotto il suo nome.
PowerGhost è un buon esempio di attacco malware senza file che ha utilizzato WMI e Powershell per eseguire il mining di criptovalute sui PC aziendali senza essere rilevato.
Quali minacce comporta il malware senza file?
Come ho detto prima, il malware senza file può eseguire la maggior parte delle attività simili al malware che risiede nello spazio di archiviazione del PC. Tutto dipende dallo scopo per cui è stato codificato il malware senza file e dalla vulnerabilità di cui trae vantaggio.
Le funzioni dannose comuni che può eseguire includono il furto di dati, il furto di credenziali, la crittografia dei dati, il monitoraggio dell’attività, il keylogging, il crypto mining, gli attacchi DDoS e l’alterazione delle impostazioni di sicurezza per ulteriori attacchi.
Per darti un’idea migliore, di seguito elenco i precedenti attacchi malware fileless su larga scala:
PowerWare: Si trattava di un tipo di ransomware che utilizzava Powershell per eseguire comandi di nascosto per bloccare file importanti e provare a fingere che fossero crittografati. Successivamente, richiede il pagamento in criptovaluta.
PowerSniff: Si diffondeva sfruttando le impostazioni di sicurezza di Microsoft Word per eseguire una macro inviata come documento. La macro ha perquisito il PC e ha rubato le credenziali.
TrickBot: Sebbene non fosse un malware del tutto privo di file, TricktBot caricava i suoi moduli in memoria in una delle sue versioni avanzate. Lo scopo principale del malware era rubare credenziali finanziarie.
Ransomware NetWalker: È un altro ransomware che utilizza tattiche senza file, ma la sua crittografia è reale. Ha sostituito i processi Microsoft legittimi con codice dannoso per nascondersi ed eseguire comandi.
Come rilevare malware senza file?
Poiché il malware senza file è subdolo, è davvero difficile rilevarlo. Se ritieni di aver fatto clic su un collegamento dannoso e che il tuo PC sia stato infettato, ci sono alcune cose che puoi fare per indovinare e adottare misure protettive.
Di seguito sono riportati alcuni indizi comuni da cercare:
Comportamento insolito del sistema: il malware senza file può introdurre comportamenti insoliti come l’apertura e la chiusura di alcune app, il blocco del PC, arresti anomali o riavvii, ecc.
Un rallentamento delle prestazioni: potresti notare un improvviso calo delle prestazioni complessive del sistema. Potrebbe anche portare a blocchi.
Attività di rete insolita: insieme a prestazioni di rete più lente, potresti notare un traffico insolito verso un dominio a cui non hai effettuato l’accesso. Consiglio sempre GlassWire per l’analisi di rete.
Utilizzo elevato della CPU di un processo: apri Task Manager e verifica se un processo insolito utilizza troppe risorse della CPU. Un processo compromesso di solito utilizza un’elevata potenza della CPU anche quando non è in uso attivo.
Modifiche all’app antivirus: il malware senza file potrebbe tentare di disattivare il software antivirus per rendere il PC vulnerabile a più tipi di attacchi malware.
Oltre a questi, dovresti anche utilizzare un antivirus con funzionalità di rilevamento del comportamento integrate per individuare malware senza file. Tali app antivirus possono rilevare comportamenti insoliti nelle app e nei processi per rilevare se sono infetti.
A questo scopo Kaspersky Antivirus ha dedicato protezione da malware senza file strumenti che non solo rilevano comportamenti insoliti, ma scansionano anche funzioni Windows sensibili come WMI o il registro di Windows per cercare codice dannoso. Kaspersky ha anche una lunga storia di scoperta di attacchi malware fileless popolari.
Cosa fare se il tuo dispositivo è stato infettato?
Se pensi che il tuo PC sia stato infettato, c’è una buona probabilità che sia già troppo tardi. Se il malware intendeva rubare qualcosa, probabilmente lo ha già fatto.
Tuttavia, la prima linea di difesa è spegnere completamente il PC e riavviarlo. Poiché la RAM è una memoria volatile, viene completamente eliminata allo spegnimento del PC. Ciò rimuoverà automaticamente il malware senza file, si spera, prima di causare danni.
Sfortunatamente, la maggior parte dei malware senza file dispone di metodi integrati per sopravvivere al riavvio, come caricare il codice in una voce del Registro di sistema. Se possibile, prova ad avviare il PC in modalità provvisoria e quindi segui i metodi seguenti:
#1. Scansione con antivirus
Ancora una volta, avrai bisogno di un’app antivirus dotata degli strumenti per proteggerti dal malware senza file. Kaspersky è ancora il mio consiglio per trovare le modifiche apportate dal malware senza file. Tuttavia, puoi anche provare Malwarebytes che dispone del rilevamento del comportamento basato sull’intelligenza artificiale per malware senza file.
#2. Utilizza Ripristino configurazione di sistema
Il Ripristino configurazione di sistema può riportare il PC a uno stato precedente in tempo e ripristinare tutte le modifiche apportate ad esso. Poiché è abilitato per impostazione predefinita su tutti i PC Windows, dovrebbe essere abilitato anche sul tuo PC, a meno che tu non lo disabiliti tu stesso.
Basta digitare Recovery nella ricerca di Windows per aprire Ripristino configurazione di sistema. Qui vedrai tutti i punti di ripristino attualmente salvati a cui tornare. Scegli quello precedente all’infezione da malware per correggere tutte le modifiche.
#3. Ripristina il PC
Se non disponi di un punto di ripristino, anche il ripristino del PC può correggere tutti i danni mantenendo i dati locali. Tuttavia, un ripristino eliminerà tutti i programmi installati sul PC, quindi assicurati di non avere dati importanti salvati al loro interno.
Nelle Impostazioni di Windows, vai su Sistema > Ripristino e quindi fai clic su Ripristina PC. Nella finestra pop-up, fai clic su Conserva i miei file e segui le istruzioni per ripristinare.
Come proteggersi dal malware senza file?
La maggior parte delle misure che proteggono dal malware normale proteggono anche dal malware senza file. Assicurati solo di installare un antivirus con rilevamento del comportamento e di non scaricare o fare clic su contenuti dannosi.
Tuttavia, esistono alcune misure di protezione più importanti per la protezione dal malware senza file. Li elenco di seguito:
Mantieni aggiornati il sistema operativo e le app
Il malware senza file dipende in larga misura dalle vulnerabilità della sicurezza nelle app e nel sistema operativo. Dovresti assicurarti che il tuo sistema operativo disponga degli ultimi aggiornamenti di sicurezza e che tutte le app siano aggiornate. Molti di questi aggiornamenti contengono correzioni per vulnerabilità che il malware senza file può sfruttare.
Fai attenzione alle estensioni del browser
Il malware senza file può anche infettare i plug-in del browser con vulnerabilità. Assicurati di scaricare solo estensioni del browser affidabili e affidabili e di mantenerle aggiornate. In caso di infezione, si consiglia di reinstallare le estensioni per assicurarsi che non siano colpevoli.
Monitorare la rete
Quasi tutti i malware senza file stabiliscono connessioni di rete con i propri server per svolgere il proprio lavoro. Uno strumento come GlassWire non solo può aiutarti a individuare le connessioni sospette, ma anche a bloccarle automaticamente, grazie al firewall integrato. Ti consiglierò di impostare le notifiche al suo interno per ricevere sempre una notifica quando viene rilevata una connessione sospetta.
Aumentare la sicurezza nel controllo dell’account utente (UAC)
Puoi configurare il controllo dell’account utente di Windows per ricevere sempre una notifica quando viene apportata una modifica al sistema da parte tua o di un’app. Può rendere le cose un po’ fastidiose a causa della notifica di ogni modifica, ma può migliorare notevolmente la sicurezza contro malware nascosti come malware senza file.
Cerca UAC in Windows Search e fai clic su Modifica impostazioni di controllo dell’account utente. Qui imposta la barra di sicurezza in alto.
Applicare la soluzione di sicurezza degli endpoint
Per le aziende, una soluzione di sicurezza endpoint può proteggere tutti i PC di una rete centralizzando la sicurezza. Anche se un dispositivo viene infettato, gli altri dispositivi in rete rimarranno protetti e la soluzione di sicurezza può aiutarti a riparare il dispositivo infetto. Anche i loro aggiornamenti sono in tempo reale, quindi le vulnerabilità vengono immediatamente risolte una volta risolte.
CrowdStrike è una buona soluzione a questo scopo che offre protezione basata sull’intelligenza artificiale contro gli attacchi informatici. Ha anche un scanner di memoria dedicato funzionalità per la protezione da malware senza file.
Considerazioni finali 🖥️🦠
Il malware senza file è infatti tra gli attacchi malware più intelligenti. A volte gli hacker li utilizzano addirittura come parte del loro attacco su vasta scala per ottenere l’accesso iniziale o indebolire il sistema. Onestamente, la maggior parte di questi attacchi può essere facilmente evitata se manteniamo sotto controllo la nostra curiosità e non clicchiamo su nulla su cui abbiamo dubbi.
Successivamente, potresti anche leggere come scansionare e rimuovere malware dai telefoni Android e iOS.