Fileless malware wordt beschreven als kwaadaardige codering die alleen kan worden gevonden in het geheugen van een computer in plaats van de harde schijf. Een aantal bedreigingen dat de beschrijvingen passen zijn waargenomen tijdens de afgelopen paar jaar. Een voorbeeld is Poweliks - de fileless Trojaans paard dat in augustus vorig jaar naar voren. Soortgelijke bedreigingen worden verwacht om te verschijnen in het wild sindsdien.
Phasebot Malware momenteel te koop
Onderzoekers hebben zojuist ontdekt een ander stuk van fileless malware nagesynchroniseerde Phasebot die op dit moment te koop op de zwarte markt wordt aangeboden. Phasebot is zeer vergelijkbaar met Solarbot en is waarschijnlijk zijn opvolger. mogelijkheden Phasebot omvatten:
- toegang rootkit
- Gecodeerde communicatie met de Command & control server
- denial-of-service
- diefstal informatie
- URL toegang
De fileless dreiging kan uitvoeren verschillende kwaadaardige acties en is ook bekend om een externe module loader in dienst. Deze laatste geeft de aanvaller met de kans om functionaliteiten op de getroffen machine toe te voegen en te verwijderen.
Wat maakt Phasebot Interessante
Eigenlijk, onderzoekers vinden de dreiging nieuwsgierig omdat het gebruik maakt van Windows PowerShell om detectie te ontsnappen door beveiligingssoftware. Windows PowerShell is een wettelijke taak automatisering en configuratie management tool die in dienst is van Phasebot haar onderdelen draaien.
Onderzoekers geloven dat het gebruik van een legit Microsoft instrument is een strategische zet. PowerShell is opgenomen in de installatiepakketten van Windows 7 en hoger. Aanvallers waarschijnlijk hebben overwogen het feit dat de meeste gebruikers van de laatste versies van het operationele systeem.
Bovendien, de meeste AV gereedschappen ervaring problemen detecteren fileless schadelijke software. Eenmaal geïnstalleerd, Phasebot en zijn look-alikes zijn heel moeilijk te worden verwijderd. De onderzoekers verwachten dat meer versies van de fileless bedreiging te verschijnen in het wild in de nabije toekomst.