Malware sin archivos
¿Qué es Malware sin archivos?
Malware sin archivosMalware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
El malware sin archivos (fileless) minimiza su huella en disco al residir en memoria y abusar de componentes legítimos como PowerShell, WMI, .NET, WSH y el Registro de Windows —técnica conocida como "living off the land" (LOLBins). El código inicial puede llegar mediante un documento de phishing, un exploit o un loader en memoria, y luego cargar reflectivamente fases adicionales sin escribirlas en disco. Al haber poca o ninguna carga en archivo para que un AV basado en firmas la analice, estos ataques son más difíciles de detectar. Las defensas incluyen registro de script-block y línea de comandos, integración AMSI, EDR con inspección conductual y de memoria, y restringir/firmar PowerShell con Constrained Language Mode y WDAC.
● Ejemplos
- 01
Cargas de Cobalt Strike Beacon basadas en PowerShell cargadas reflectivamente.
- 02
POWELIKS, malware sin archivos que guardaba cargas codificadas en el Registro.
● Preguntas frecuentes
¿Qué es Malware sin archivos?
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa Malware sin archivos?
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
¿Cómo defenderse de Malware sin archivos?
Las defensas contra Malware sin archivos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Malware sin archivos?
Nombres alternativos comunes: Malware residente en memoria, Malware "living off the land".