Malware sem ficheiro
O que é Malware sem ficheiro?
Malware sem ficheiroMalware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
O malware sem ficheiro (fileless) minimiza a pegada em disco residindo em memória e abusando de componentes legítimos como PowerShell, WMI, .NET, WSH e o Registo do Windows — técnica conhecida como "living off the land" (LOLBins). O código inicial pode chegar através de um documento de phishing, um exploit ou um loader em memória, carregando depois fases adicionais de forma reflexiva sem nunca tocar no disco. Como há poucos ou nenhuns ficheiros de carga útil para os antivírus baseados em assinaturas, estes ataques são mais difíceis de detetar. As defesas incluem registo de script-block e de linha de comandos, integração com AMSI, EDR com inspeção comportamental e de memória, e restrição/assinatura de PowerShell via Constrained Language Mode e WDAC.
● Exemplos
- 01
Cargas Cobalt Strike Beacon em PowerShell carregadas reflexivamente em memória.
- 02
POWELIKS, malware sem ficheiro que armazenava cargas codificadas no Registo do Windows.
● Perguntas frequentes
O que é Malware sem ficheiro?
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco. Pertence à categoria Malware da cibersegurança.
O que significa Malware sem ficheiro?
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
Como se defender contra Malware sem ficheiro?
As defesas contra Malware sem ficheiro costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Malware sem ficheiro?
Nomes alternativos comuns: Malware residente em memória, Malware "living off the land".