2017/06/14

Malware "sem ficheiros" escapa aos antivirus


Os criadores de malware estão a recorrer com mais frequência a uma técnica que escapa ao processo de detecção dos antivirus ao funcionarem quase exclusivamente na memória do computador.

À medida que os sistemas de detecção de virus e malware vão evoluindo, também estes vão adoptando novas tácticas para escaparem à detecção. Uma delas tem-se revelado particularmente eficaz, e já foi detectada uma vaga de malware em restaurantes dos EUA que estava a decorrer de forma praticamente indetectável.

A maioria dos sistemas de detecção dos anti-vírus faz uma análise dos ficheiros em disco para tentar identificar conteúdos suspeitos que coincidam com os que têm na sua base de dados. Mas neste novo sistema, o vírus existe apenas em memória, dificultando o processo de detecção (e ainda mais devido às protecções incluídas nos próprios sistemas operativos, para impedir que processos possam aceder à memória de outros processos.)

O processo de infecção continua a ter origem num ficheiro infectado, como um documento do Word, e tem que ultrapassar o sistema de protecção que alerta o utilizador para o conteúdo potencialmente perigoso. Se o utilizador o fizer, o malware faz a infecção em dois passos para evitar alertas por parte dos anti-vírus: primeiro cria uma nova tarefa agendada para correr um minuto depois, que vai executar um programa que procede a uma cascata de operações de execuções secundárias, para baralhar o processo de detecção, e que se destaca por gerar scripts em PowerShell que injectam o malware directamente na memória, fazendo com que o malware nunca exista "efectivamente" no disco.

A táctica consegue escapar a 56 dos mais populares anti-virus no mercado e é provável que seja utilizada com cada vez maior frequência no futuro. No entanto, importa relembrar o passo crítico sem o qual este malware nem sequer poderia existir: que foi o utilizador que deu a permissão para que o script inicial fosse executado.

1 comentário:

  1. Aposto que já vêm aí dizer que 50 dos 56 anti-vírus eram o WDefender ☺

    ResponderEliminar

[pub]