En el mundo de la ciberseguridad, el término fileless hace referencia al malware, amenaza o técnica que no requiere de algún artefacto malicioso en el disco duro del equipo de la víctima para comprometerlo, es decir, el código malicioso se ejecutará de forma directa en la memoria RAM del dispositivo, generalmente con la ayuda de herramientas legítimas como PowerShell, Psexec, WMI, .NET, JavaScript o Visual Basic Script, por mencionar algunas.

En los últimos años, SCILabs ha observado que cada vez son más los cibercriminales en la región que están aprovechándose del fileless para lograr sus objetivos delictivos. La popularidad de esta técnica se basa en el sigilo, la practicidad y la eficacia que ofrece para completar cada una de las fases de sus ataques, además de que, en la mayoría de las ocasiones, el tráfico malicioso se puede mezclar con la actividad legítima de la empresa víctima, lo que puede complicar la detección.

Por otra parte, las soluciones seguridad con capacidad de detección limitada que solo buscan archivos escritos en el disco duro, o que no realizan escaneos en memoria para determinar la peligrosidad de los artefactos, pueden no ser efectivos ante este tipo de ataques.

Para comenzar la intrusión, los actores de amenazas entregan el código malicioso de tipo fileless a través de alguno de los siguientes métodos:
• Explotación de vulnerabilidades críticas.
• Ataques de fuerza bruta a protocolos configurados con una seguridad débil.
• Documentos ofimáticos de tipo maldoc que contienen el código ofuscado a ejecutar.
• A través de sitios maliciosos, utilizando técnicas como HTML Smuggling o sitios de tipo malvertising.

SCILabs también ha observado a muchos cibercriminales, como Malteiro (operadores de URSA/Mispadu) y operadores de otros troyanos bancarios, utilizando diferentes droppers y loaders que abusan de esta técnica para cargar sus troyanos en memoria y aumentar la taza de efectividad. En ataques de ransomware también se ha visto que algunos cibercriminales utilizan frameworks como Metasploit, Empire, Cobalt Strike o PowerSploit, que los auxilian en cada una de las fases del ataque, incluidos los movimientos laterales, la escalación de privilegios, persistencia y la exfiltración. Por otra parte, también están utilizando algunas herramientas genéricas comunes, como mimikatz, rclone o pwdump, las cuales han transformado para que se ejecuten con esta técnica.

Debido al peligro que fileless representa para los activos de las organizaciones, SCILabs ofrece algunas recomendaciones para poder contener este tipo de ataques y mejorar su postura de ciberseguridad:
• Mantenga un monitoreo constante de los procesos legítimos con un comportamiento sospechoso (PowerShell, WMI, etc.).
• Utilice un EDR de calidad, con capacidades de correlación de eventos y análisis en memoria. Y adminístrelo con una buena política de generación de bitácoras (logs) y auditoría.
• En sus soluciones de correo, configure un filtro antispam que se adecúe a las necesidades de la empresa.
• Deshabilite la ejecución automática de macros en Office, debido a que es un mecanismo común de propagación.
• Siempre mantenga una seguridad basada en capas (filtro antispam, firewall, IPS, IDS, EDR, etc.) que le permita contener y detectar el comportamiento malicioso de las amenazas en cada una de las fases de un posible ataque.

Referencias
https://blog.scilabs.mx/blog/2021/11/08/cyber-threat-profile-malteiro-2/
https://dsimg.ubm-us.net/envelope/395823/551993/Fileless%20Attack%20Survival%20Guide.pdf
https://www.kaspersky.com/enterprise-security/wiki-section/products/fileless-threats-protection
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/security-101-how-fileless-attacks-work-and-persist-in-systems
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fighting-new-ransomware-techniques-with-mcafees-latest-innovations/