Fileless malware beskrivs som skadliga kodning som bara kan hittas i minnet av en dator i stället för sin hårddisk. Flera hot som passar beskrivningarna har observerats under de senaste åren. Ett exempel är Poweliks - den fileless trojansk häst som dök upp i augusti. Liknande hot har väntas dyka upp i naturen sedan.
Phasebot Malware för närvarande till salu
Forskare har just upptäckt en annan bit av fileless malware dubbade Phasebot som för närvarande erbjuds till försäljning på den svarta marknaden. Phasebot är mycket lik Solarbot och kommer sannolikt att vara dess efterföljare. Phasebot kapacitet inkluderar:
- rootkit tillgång
- Krypterad kommunikation med kommando & kontrollserver
- Denial-of-service-attacker
- Information stöld
- URL-åtkomst
Den fileless hotet kan utföra olika skadliga åtgärder och är också känd för att använda en extern modul loader. Den senare ger angriparen med möjlighet att lägga till och ta bort funktioner på den drabbade maskinen.
Vad gör Phasebot Intressant
I grund och botten, forskare finner hotet nyfikna eftersom den använder Windows Powershell för att undgå upptäckt av säkerhetsprogram. Windows Powershell är en legitim uppgift automation och konfigurationshanteringsverktyg som är anställd av Phasebot att köra dess komponenter.
Forskarna tror att användandet av en legit Microsoft instrument är ett strategiskt drag. Power ingår i installationspaket av Windows 7 och högre. Angripare troligen har ansett att de flesta användare har de senare versionerna av verksamhetssystem.
dessutom, mest AV verktyg erfarenhet problem upptäcka fileless skadlig programvara. En gång installerat, Phasebot och dess look-alikes är ganska svårt att tas bort. Forskare räknar med fler versioner av fileless hotet mot visas i naturen inom en snar framtid.