Recientemente, Microsoft entró en alerta roja después de que Windows fuera atacado por malware. El antagonista esta vez fue una variedad de malware sin archivos llamado Astaroth. Hemos cubierto el malware sin archivos en el pasado, así que asegúrese de estudiar si no está seguro de lo que eso significa. En esencia, es cuando el malware vive dentro de la memoria RAM de una computadora en lugar de en su sistema de archivos, lo que hace que sea más difícil de detectar.
Exploremos por qué Microsoft está en desacuerdo con Astaroth, así como qué debe hacer para protegerse.
¿Cómo se propaga Astaroth?
Astaroth se las arregla para moverse usando un archivo .LNK. Este archivo se carga en un sitio web, luego se envía un enlace al sitio web en un correo electrónico.
Si alguien hace clic en el enlace, activa el archivo .LNK para que se ejecute en Windows. Esto envía algunas instrucciones a la herramienta de línea de comandos del Instrumental de administración de Windows (WMIC). Este es un programa genuino dentro de Windows, por lo que pasa por debajo del antivirus durante la ejecución.
Luego, Astaroth usa su apariencia bajo WMIC para forzarlo a descargar y ejecutar todos los programas que Astaroth necesita para hacer su trabajo. Una vez que ha ensamblado completamente el malware, el ataque se dispara.
Si bien Astaroth descarga herramientas para hacer su trabajo, todas son herramientas legítimas del sistema que Windows usa de forma nativa. Como tal, dificulta que un antivirus lo detecte, ya que el ataque utiliza procesos clave de Windows contra sí mismo. Esta es la razón por la que se denomina ataque «sin archivos», ya que no se descargan ni guardan archivos extraños.
Este método de ataque también tiene una categoría más grande asignada: un ataque de «Living-off-the-Land». Esto se debe a que técnicamente el virus no está introduciendo nuevos agentes en el sistema; simplemente usa lo que ya está allí para descargar y ejecutar la carga útil.
¿Qué hace Astaroth?
El objetivo principal de Astaroth es recolectar tanta información como sea posible. Realiza esto a través de varios vectores de ataque. Un keylogger rastrea todo lo que el usuario está escribiendo, mientras que el portapapeles se escanea en busca de información confidencial. Astaroth también obligará a las aplicaciones a volcar información sobre sí mismas.
Por lo general, así es como actúa la mayoría del malware en estos días. Los virus y el malware han dejado de causar daños y, en cambio, optan por realizar acciones que recopilan datos o generan dinero para los desarrolladores. Astaroth es un ejemplo severo de esto, ya que su instalación sin archivos y sus múltiples métodos de detección lo convierten en una fuerza a tener en cuenta.
Cómo evitar este ataque
Afortunadamente, si bien esta táctica dificulta que un antivirus detecte el ataque, el vector inicial real es fácil de detectar a simple vista. Siempre tenga cuidado con los enlaces en los que hace clic en los correos electrónicos, especialmente los enviados por personas de las que nunca ha oído hablar.
Enemigos sin archivo
La naturaleza sigilosa del malware sin archivos lo convierte en una amenaza grave, incluso para las personas con antivirus instalados. La última ola de Astaroth ha demostrado cuán devastador puede llegar a ser el malware sin archivos. Ahora ya sabe qué es, qué puede hacer y cómo evitar una infección.
¿Le preocupa el malware sin archivos? Háganos saber a continuación.