- El programari maliciós sense fitxers s'executa en memòria i abusa d'eines legítimes com PowerShell o WMI.
- Podeu robar dades, xifrar fitxers o espiar equips sense deixar rastre evident en disc.
- La detecció efectiva exigeix monitoritzar comportament i processos, no només fitxers.
- Defensar-se requereix EDR, segmentació, pegats i reducció de l'ús de scripts i macros.
En els últims anys el malware sense arxius (fileless malware) s'ha convertit en un dels maldecaps més seriosos per a equips de TI i seguretat. No estem parlant del típic virus que descarregues en un fitxer adjunt i que es pot esborrar passant un antivirus, sinó d'alguna cosa molt més sigil·losa que s'amaga en els propis processos del sistema.
Aquest tipus d´amenaça aprofita eines legítimes del sistema operatiu, especialment a Windows, per executar codi maliciós directament a la memòria RAM. En no deixar gairebé rastre al disc, és capaç d'esquivar molts antivirus tradicionals i de romandre actiu el temps suficient per robar informació, xifrar arxius o mantenir portes del darrere sense ser detectat.
Què és exactament el malware sense arxius
Quan parlem de codi maliciós sense arxius ens referim a codi maliciós que no depèn d'un executable clàssic al disc per funcionar. En lloc d'instal·lar-se com un programa més, es recolza en components ja presents al sistema (scripts, serveis, intèrprets d'ordres, etc.) per carregar i executar les seves instruccions directament en memòria.
Des del punt de vista tècnic, aquest malware sol injectar-se en processos que ja estan en execució o llançar-se mitjançant ordres que carreguen tot en RAM. Això fa que, un cop apagat o reiniciat l'equip, moltes variants desapareguin, però mentrestant tenen marge de sobres per causar danys greus.
En comparació amb el codi maliciós basat en arxius, aquestes amenaces són més lleugeres, més discretes i molt més difícils de rastrejar. No trobaràs un .exe sospitós al disc, ni necessàriament un instal·lador maliciós: el problema està en el que passa dins de processos que aparentment són de confiança.
L'auge d'aquest enfocament es va disparar al voltant del 2017, quan es van començar a veure campanyes que combinaven tècniques sense arxius amb troians clicker, adware avançat i eines d'accés remot (RAT). Avui dia s'han integrat a tot tipus d'operacions: des d'espionatge i APT fins a ransomware i criptomineria.
Com funciona el codi maliciós sense arxius per dins
Per entendre el funcionament, cal recordar que la majoria d'aplicacions normals es distribueixen com un fitxer que s'escriu en disc i després es carrega a memòria quan lusuari lexecuta. El codi maliciós sense arxius, en canvi, se salta el primer pas i es materialitza directament a la RAM usant mecanismes del propi sistema operatiu.
Moltes campanyes es recolzen en la idea de «viure de la terra» (vivint de la terra): l'atacant abusa d'utilitats d'administració legítimes en comptes d'introduir nous binaris. Al Windows, l'exemple estrella és PowerShell, però també s'exploten WMI, mshta, rundll32, scripts de VBScript o JScript i altres binaris de confiança (LoLBins).
Un escenari típic seria: un usuari obre un document d'Office amb contingut maliciós o prem un enllaç de phishing; des d'aquí es llança un script que invoca PowerShell o una altra eina per descarregar, desxifrar o injectar en memòria el codi de la fase següent. Tot això pot passar sense que es creï un fitxer permanent al disc dur.
Un altre vector freqüent consisteix a aprofitar vulnerabilitats d'execució remota de codi, com a desbordaments de memòria intermèdia en navegadors, plugins o aplicacions de servidor. En explotar la vulnerabilitat, l'atacant aconsegueix executar directament shellcode dins del procés vulnerable i, a partir d'aquí, carregar la resta de components a la memòria.
Algunes variants fins i tot recorren al Registre de Windows oa tasques programades per desar scripts o ordres que reactiven l'atac en iniciar el sistema o en iniciar sessió un usuari. Encara que s'escrigui alguna cosa al Registre, la lògica maliciosa principal segueix executant-se en memòria, cosa que en dificulta la detecció amb eines centrades només en el sistema de fitxers.
Mètodes d'infecció i accés inicial
La porta d'entrada sol ser força clàssica: correus de phishing, enllaços maliciosos i documents adulterats segueixen sent els reis de l'accés inicial, encara que per sota es facin servir tècniques sense fitxers. El truc és que durant tota la cadena s'intenta minimitzar qualsevol empremta en disc.
En molts incidents es fan servir documents de Microsoft Office amb macros que, en activar-se, criden a PowerShell o WMI per descarregar i executar en memòria la següent etapa de l'atac. Fins i tot sense macros, els atacants exploten vulnerabilitats a Word, Excel, lectors de PDF o el mateix motor de scripting per assolir l'execució de codi.
Un altre enfocament consisteix a aprofitar directament executables aparentment inofensius que l'usuari rep per correu o descàrrega de la web. Aquest executable pot extreure un mòdul maliciós i carregar-lo en memòria mitjançant tècniques com la reflexió a .NET, sense arribar a desar-lo al disc com a fitxer separat.
També es veuen campanyes que apunten a servidors web o aplicacions exposades a Internet, on la vulnerabilitat es fa servir per desplegar webshells amb components sense fitxers. Un exemple recent és l'ús de Godzilla i eines similars, en què el codi maliciós viatja dins de peticions HTTP i s'injecta directament en memòria al servidor compromès.
Finalment, els atacants recorren amb freqüència a credencials robades. Si aconsegueixen usuari i contrasenya d'un administrador o d'un compte privilegiat, poden iniciar sessió per RDP o altres canals i llançar manualment scripts PowerShell, ordres WMI o eines d'administració que carreguen el codi maliciós en memòria sense necessitat de deixar executables nous al sistema.
Tècniques concretes usades pel codi maliciós sense arxius
Una de les claus daquests atacs és la reutilització de eines natives de Windows com a vehicle per als seus scripts. Això fa que lactivitat maliciosa es barregi amb tasques administratives normals, complicant lanàlisi i la resposta.
Entre les tècniques més habituals trobem l'ús de PowerShell com a llançador de codi embegut a la pròpia línia d'ordres. Per exemple, es passa un script ofuscat com a paràmetre, es desactiva la política d'execució, s'oculta la finestra i es descarrega una càrrega útil directament en memòria, tot sense deixar un fitxer .ps1 ni un executable sospitós visible.
Una altra tàctica molt popular és emmagatzemar scripts maliciosos a les subscripcions de Windows Management Instrumentation (WMI). Cada cert esdeveniment del sistema, WMI dispara l'script, que pot executar codi des de memòria, connectar-se a servidors de comandament i control o llençar noves etapes de la infecció.
De forma similar, molts grups utilitzen el Registre de Windows i el programador de tasques com a refugi per als seus scripts i comandes. En lloc de col·locar un executable a la carpeta d'inici, defineixen claus d'autoarrencada o tasques planificades que executen scripts de PowerShell, mshta o rundll32 amb codi incrustat o descarregat al vol.
També es veuen tècniques de reflexió a .NET, on un executable lleuger conté acoblats xifrats o comprimits que es carreguen directament en memòria amb Reflection.Load, sense ser mai escrits com a fitxers .dll al disc. Això permet desplegar troians molt complets dins un únic procés aparentment normal.
Què pot fer un atac sense fitxers
Tot i el seu nom, un atac sense fitxers no està limitat quant a impacte. De fet, pot fer les mateixes funcions que un codi maliciós tradicional: robatori d'informació, xifrat de dades, moviment lateral, espionatge, minat de criptomonedes o instal·lació de backdoors permanents.
Moltes campanyes sense fitxers es comporten com lladre de credencials, capturant contrasenyes, tokens de sessió o hashes d'autenticació des de la memòria de processos sensibles. Això facilita escalar privilegis, comprometre més sistemes i mantenir accés perllongat sense recórrer a binaris extra.
Altres se centren en ransomware sense fitxers, on parteix de la lògica de xifrat i comunicació s'executa directament en memòria. Encara que en algun moment pugui aparèixer un component en disc per manipular gran quantitat darxius, la càrrega inicial i el control de latac es fan amb tècniques fileless per evitar la seva detecció primerenca.
Els atacants també poden instal·lar rootkits o RATs avançades que, un cop assentades, usen canals fileless per rebre ordres, moure's per la xarxa i actualitzar mòduls. Com que estan integrades en processos de sistema o en serveis crítics, aquestes eines resulten especialment difícils d'eradicar.
A nivell econòmic, l'impacte es tradueix en pèrdua de dades, parades de servei, multes regulatòries i dany reputacional. Atès que aquestes intrusions solen passar mesos sense detectar-se, el volum d'informació exfiltrada i l'abast de la bretxa poden ser enormes.
Fases d'un atac de codi maliciós sense arxius
Encara que la part tècnica sigui diferent, el cicle d'un atac fileles recorda força al de qualsevol intrusió avançada. El que canvia són els mecanismes emprats a cada fase i la manera com es camuflen.
En l'etapa de accés inicial, l'adversari necessita un primer punt de suport: un clic a un enllaç de pesca, l'obertura d'un document amb macros, l'explotació d'un servidor vulnerable o la reutilització de credencials compromeses. A partir d´aquí, la intenció és aconseguir l´execució de codi dins del sistema objectiu.
Un cop aconseguit aquest pas, arriba la fase de execució en memòria. Aquí entren en joc PowerShell, WMI, mshta, rundll32, VBScript, JScript o altres intèrprets per carregar i activar el payload sense generar executables permanents al disc. És habitual que el codi estigui ofuscat o xifrat i es desxifre només a RAM.
Després es persegueix la persistència. Tot i que moltes càrregues fileless desapareixen en reiniciar l'equip, els atacants sofisticats combinen scripts RAM-resident amb claus de Registre, tasques programades o subscripcions WMI que tornen a llançar el codi cada vegada que es compleix una condició concreta, com ara l'arrencada del sistema o l'inici de sessió d'un usuari.
Finalment, s'executen els objectius finals de l'atacant: robatori i exfiltració de dades, xifratge d'informació, desplegament de malware, espionatge continu o sabotatge de sistemes crítics. Tot això es realitza intentant mantenir el perfil més baix possible per evitar alarmes i anàlisis forenses primerencs.
Per què és tan difícil de detectar
El gran problema del codi maliciós sense arxius és que trenca el model clàssic de defensa basat en arxius i firmes. Si no hi ha un executable sospitós per analitzar, molts motors antivirus es queden cecs davant del que passa dins de la memòria i dels processos legítims.
L'absència de fitxers en disc implica que no hi ha objectes per escanejar de forma periòdica a la recerca de patrons coneguts. A més, en aprofitar binaris signats pel mateix sistema operatiu, com PowerShell.exe, wscript.exe o rundll32.exe, l'activitat maliciosa queda camuflada després de noms en què l'administrador normalment confia.
A això se suma que molts productes heretats tenen una visibilitat limitada sobre els processos en execució. Se centren en el sistema de fitxers i en el trànsit de xarxa, però amb prou feines inspeccionen trucades a API internes, paràmetres de línia d'ordres, comportament d'scripts o esdeveniments del Registre que puguin delatar un atac sense fitxers.
Els atacants, conscients d'aquestes limitacions, recorren a tècniques d'ofuscació, xifratge i fragmentació del codi. Per exemple, divideixen un script maliciós en diversos fragments que s'acoblen en temps real, o amaguen instruccions dins imatges, recursos incrustats o cadenes aparentment innòcues.
En entorns on els sistemes amb prou feines es reinicien (servidors crítics, terminals de producció, etc.), un programari maliciós resident en memòria pot romandre actiu durant setmanes o mesos sense ser detectat, especialment si es mou amb prudència i minimitza el volum de trànsit o daccions cridaneres.
Limitacions de les defenses tradicionals
La resposta inicial de molts proveïdors davant aquesta amenaça ha estat intentar restringir o bloquejar directament eines com PowerShell o les macros d'Office. Tot i que pot reduir alguns vectors, no és una solució realista ni completa a la majoria d'organitzacions.
PowerShell s'ha convertit en una peça clau per a l'administració de sistemes Windows, automatització de tasques, desplegament de programari i gestió de servidors. Bloquejar-lo completament suposaria paralitzar fluxos de treball de TI i obligar a refer multitud de processos interns.
A més, des del punt de vista de l'atacant, hi ha múltiples formes de esquivar una política de bloqueig simple. Hi ha tècniques per carregar el motor de PowerShell a partir de llibreries (dll) mitjançant rundll32, convertir scripts en executables amb eines com PS2EXE, utilitzar còpies modificades de PowerShell.exe o fins i tot incrustar scripts de PowerShell en imatges PNG i executar-los amb línies d'ordre ofuscades.
Amb les macros d'Office passa una cosa semblant: moltes empreses en depenen per automatitzar informes, càlculs i processos de negoci. Desactivar-les globalment pot trencar aplicacions internes, mentre que confiar només en anàlisis estàtiques del codi VBA sol generar una taxa de falsos positius i falsos negatius difícil de gestionar.
A això se suma que alguns enfocaments basats en detection-as-a-service des del núvol requereixen connectivitat constant i, de vegades, actuen amb massa retard per impedir l'execució inicial del codi maliciós (malware). Si la decisió de bloqueig es pren segons o minuts després, el mal ja pot estar fet.
Canvis d'enfocament: fitxers a comportament
Com que l'arxiu ja no és l'element protagonista, les solucions modernes de defensa se centren en vigilar el comportament dels processos en comptes d'inspeccionar únicament el contingut dels fitxers. La idea és que, encara que hi hagi milers de variants de codi maliciós (malware), els patrons d'activitat maliciosa són molt menys diversos.
Aquest enfocament es recolza en motors de anàlisi de comportament i aprenentatge automàtic que monitoritzen contínuament què fa cada procés: quines ordres llança, quins recursos del sistema toca, com es comunica amb l'exterior i quins canvis intenta introduir a l'entorn.
Per exemple, es pot marcar com a sospitós un procés d'Office que executa una ordre PowerShell ofuscada amb paràmetres per desactivar polítiques de seguretat i descarregar codi des d'un domini rar. O un procés que, sense motiu aparent, accedeix de cop a centenars darxius sensibles o modifica claus de Registre crítiques.
Els sistemes EDR i plataformes XDR de darrera generació recullen telemetria detallada d'endpoints, servidors i xarxa, i són capaços de reconstruir històries completes (de vegades anomenades StoryLines) de com s'ha originat un incident, quins processos han intervingut i quins canvis ha patit la màquina afectada.
Un bon motor de comportament no sols detecta l'amenaça, sinó que pot mitigar o revertir automàticament les accions malicioses: matar processos implicats, aïllar l'equip, restaurar arxius xifrats, desfer canvis al Registre i tallar comunicacions cap a dominis de comandament i control.
Tecnologies i fonts d'esdeveniments clau a Windows
Per analitzar amenaces sense fitxers a Windows resulta especialment útil aprofitar mecanismes de telemetria nadius del sistema operatiu, que ja hi són i ofereixen molta informació sobre el que passa entre bastidors.
D'una banda està Seguiment d'esdeveniments per a Windows (ETW), un marc que permet registrar esdeveniments molt detallats sobre l'execució de processos, trucades a API, accés a memòria i altres aspectes interns del sistema. Moltes solucions EDR es recolzen a ETW per detectar comportaments atípics en temps real.
Una altra peça clau és Antimalware Scan Interface (AMSI), una API dissenyada per Microsoft perquè els motors de seguretat puguin inspeccionar scripts i contingut dinàmic just abans que s'executi, fins i tot si està ofuscat. AMSI és especialment útil amb PowerShell, VBScript, JScript i altres llenguatges de scripting.
A més, els motors moderns analitzen de forma periòdica àrees sensibles com ara el Registre, el programador de tasques, les subscripcions WMI o les polítiques d'execució d'scripts. Canvis sospitosos en aquestes zones són sovint el senyal que un atac fileless ha establert persistència.
Tot això es complementa amb heurístiques que tenen en compte no només el procés actual, sinó també el procés context d'execució: d'on prové el procés pare, quina activitat de xarxa s'ha observat abans i després, si hi ha hagut errors estranys, bloquejos anòmals o altres senyals que, sumats, inclinen la balança cap a la sospita.
Estratègies pràctiques de detecció i prevenció
A la pràctica, protegir-se d'aquestes amenaces passa per combinar tecnologia, processos i formació. No n'hi ha prou amb instal·lar un antivirus i oblidar-se; cal una estratègia en capes adaptada al comportament real del codi maliciós sense arxius.
En el pla tècnic, és imprescindible desplegar solucions EDR o XDR amb capacitats danàlisi de comportament i visibilitat a nivell de procés. Aquestes eines han de ser capaces de registrar i correlacionar activitat en temps real, bloquejar comportaments anòmals i proporcionar informació forense clara a l'equip de seguretat.
també convé restringir l'ús de PowerShell, WMI i altres intèrprets a allò estrictament necessari, aplicant llistes de control d'accés, signatures d'scripts (Code Signing) i polítiques d'execució que limitin quin codi pot córrer i amb quins privilegis.
Al costat de l'usuari, la formació continua sent crucial: cal reforçar la conscienciació sobre phishing, enllaços sospitosos i documents inesperats, especialment entre personal amb accés a informació sensible o permisos elevats. Reduir el nombre de clics imprudents disminueix molt la superfície datac.
Finalment, no es pot descuidar el cicle de pegats i actualització de programari. Moltes cadenes fileless comencen amb l'explotació de vulnerabilitats conegudes per a les quals ja hi ha correcció. Mantenir navegadors, connectors, aplicacions corporatives i sistemes operatius al dia tanca portes molt valuoses per als atacants.
Serveis gestionats i caça d'amenaces
En organitzacions mitjanes i grans, on el volum d'esdeveniments és enorme, és difícil que l'equip intern ho vegi tot. Per això estan creixent els serveis de monitorització i resposta gestionada (MDR/EMDR) i els centres d'operacions de seguretat (SOC) externs.
Aquests serveis combinen tecnologia avançada amb equips d'analistes que vigilen 24/7 els entorns dels seus clients, correlant senyals febles que, altrament, passarien desapercebuts. La idea és detectar comportaments propis de fileless malware abans que es materialitzi el mal.
Molts SOC es recolzen en marcs com MITRE ATT&CK per catalogar tàctiques, tècniques i procediments (TTPs) dels adversaris i construir regles específiques orientades a execució en memòria, abús de LoLBins, WMI maliciós o patrons d'exfiltració de dades sigil·loses.
A més de la monitorització contínua, aquests serveis solen incloure anàlisi forense, resposta a incidents i assessoria per millorar l'arquitectura de seguretat, tancar bretxes recurrents i reforçar controls a endpoints i servidors.
Per a moltes empreses, externalitzar part d'aquesta funció és la forma més viable de mantenir-se al dia davant d'amenaces tan complexes, ja que no tothom es pot permetre un equip intern especialitzat en hunting de codi maliciós avançat.
La realitat és que el codi maliciós sense arxius ha canviat per sempre la manera d'entendre la seguretat en endpoints: els fitxers ja no són l'únic indicador clau, i només una combinació de visibilitat profunda, anàlisi de comportament, bones pràctiques dadministració i una cultura de ciberseguretat estesa pot mantenir-lo a ratlla en el dia a dia.
