Por Filipe Garrett, para o TechTudo


Fileless malware é um tipo de vírus capaz de atingir computadores sem precisar que você baixe um programa malicioso no PC. O malware tem sido objeto de preocupação entre especialistas de segurança virtual, já que o registro de ataques tem aumentado no mundo, em especial nas redes corporativas e de instituições financeiras. O malware tem capacidade de interceptar e roubar dados do computador e dispensa instalação, daí recebe o nome “fileless” (“sem arquivo”, em inglês).

Em fevereiro do ano passado, um ataque com fileless malware se alastrou por mais de 100 bancos e instituições financeiras de 40 países. Na Rússia, US$ 800 mil foram roubados em saques a partir da infecção de caixas eletrônicos.

Malware funciona de forma praticamente oculta, dificultando detecção e proteção do usuário — Foto: Pond5 Malware funciona de forma praticamente oculta, dificultando detecção e proteção do usuário — Foto: Pond5

Malware funciona de forma praticamente oculta, dificultando detecção e proteção do usuário — Foto: Pond5

Um vírus na memória RAM

Para compreender como é possível que um malware sem arquivos provoque danos e prejuízos, você deve entender um pouco sobre como os computadores funcionam. Em um PC, os arquivos, programas e recursos do sistema são carregados na memória RAM quando requisitados pelo processador. Por exemplo, se você liga o seu notebook e abre o Word, uma série de recursos do Windows e do próprio editor de textos passam a ser carregados na RAM, de maneira a rodar de lá e não mais do disco rígido.

Isso permite que seu sistema seja mais rápido, já que a memória RAM é mais veloz que as unidades de armazenamento onde os dados do computador estão efetivamente instalados. Por outro lado, assim que você desliga o PC, tudo o que estava guardado na memória RAM é automaticamente apagado.

O malware sem arquivos

Fileless malwares podem usar scripts e comandos que rodam ocultos no PowerShell — Foto: Reprodução Fileless malwares podem usar scripts e comandos que rodam ocultos no PowerShell — Foto: Reprodução

Fileless malwares podem usar scripts e comandos que rodam ocultos no PowerShell — Foto: Reprodução

Dessa forma, malwares tipo fileless são criados para rodar diretamente da memória RAM. Contudo, ao contrário de um aplicativo normal ou de outros tipos de pragas virtuais, esses malwares não deixam rastros no disco rígido e não dependem da instalação de um programa malicioso para infectar a máquina.

O vírus pode se infiltrar no PC de diversas formas. Por exemplo, isso pode ocorrer por meio de entradas no Registro do Windows, que acionam a operação do malware dentro da memória RAM. Ou, ainda, através de comandos via PowerShell do Windows, executados de maneira oculta ao usuário, que colocam o vírus para funcionar em determinadas condições.

A questão é que tudo pode partir de algum incidente difícil de ser percebido: entradas no Registro são basicamente ilegíveis por usuários comuns e podem acabar inseridas no seu sistema de diversas formas, sem que você tenha muito controle sobre elas. O mesmo vale para scripts (conjunto de instruções dadas ao sistema) que podem rodar via PowerShell (uma espécie de Prompt de Comando anabolizado do sistema da Microsoft).

Se eu desligar o computador o malware desaparece, certo?

A princípio, sim: sempre que você desliga o computador, todo o conteúdo da memória RAM é automaticamente eliminado. Por causa disso, por exemplo, perdemos documentos quando a energia é cortada. Entretanto, os criminosos por trás da criação de malwares sem arquivos já consideram essa medida e podem implementar mecanismos ocultos no Registro do Windows capazes de acionar o malware sempre que você ligar o PC.

Outro detalhe é que os desenvolvedores desses vírus têm consciência de que o funcionamento da praga virtual pode ser interrompido de uma hora para a outra. Por conta disso, esses malwares são criados de forma a capturar o maior volume de informações possível na menor medida de tempo.

Fileless malwares tentam retirar o máximo de informação possível em curtos períodos de tempo — Foto: Creative Commons/Flickr/elhombredenegro Fileless malwares tentam retirar o máximo de informação possível em curtos períodos de tempo — Foto: Creative Commons/Flickr/elhombredenegro

Fileless malwares tentam retirar o máximo de informação possível em curtos períodos de tempo — Foto: Creative Commons/Flickr/elhombredenegro

Por que os fileless malware são tão perigosos?

O grande problema dessa variante de praga virtual é que a detecção de sua presença no sistema infectado é muito difícil. Como não há arquivos no disco rígido e nem rastros no sistema, os antivírus têm uma dificuldade muito maior em detectar a presença do vírus na memória do PC. Assim, mesmo os antivírus mais poderosos podem simplesmente ignorar a presença do malware rodando oculto na memória RAM.

Outro fator grave dessas ameaças é que elas podem tirar proveito dos comandos do sistema operacional para criar suas estruturas de ataque. Dessa maneira, aumenta não apenas a intensidade dos danos provocados, mas também a dificuldade de detecção do malware. Ele pode pedir o comando do Windows responsável pela criação de uma rede a fim de gerar portas de saída para os dados interceptados do computador, sem que você seja alertado. Como está na RAM e usa comandos legítimos, o vírus pode acabar não sendo notado pelas defesas do sistema.

Infecções e casos reais

Fileless malware é um tipo de malware especialmente perigoso porque as formas de detecção atuais e os métodos de combate às pragas são ineficientes para combater esse tipo de vírus. Essas características parecem encorajar o surgimento de ataques mais sofisticados usando os conceitos. Em fevereiro do ano passado, um ataque com fileless malware se alastrou por mais de 100 bancos e instituições financeiras de 40 países. Um ataque na Rússia teve como alvo caixas eletrônicos e permitiu que criminosos obtivessem US$ 800 mil em saques a partir da infecção das máquinas.

Como escolher um bom antivírus

Como escolher um bom antivírus

Como remover ransomware? Aprenda no Fórum do TechTudo.

MAIS DO TechTudo