I principali sviluppatori di antimalware e soluzioni per la sicurezza informatica sono concordi sul fatto che le minacce fileless stanno cominciando a rappresentare un pericolo sempre più concreto. Nell’articolo Rimozione malware: come accorgersi della presenza di minacce fileless abbiamo visto come negli attacchi fileless non vengano memorizzati file sul sistema locale della vittima.
Il codice dannoso viene caricato direttamente nella memoria RAM oppure da locazioni alternative (registro di sistema o risorse remote, ad esempio sulla rete Internet).
I ricercatori di SafeBreach hanno sviluppato una libreria opensource che attiva un sistema fileless sul dispositivo dell’utente appoggiandosi al registro di Windows, a Windows Management Instrumentation (WMI) e alle risorse messe a disposizione su macOS.
Battezzato AltFS e pubblicato su GitHub, quello creato da SafeBreach è una sorta di file system che permette passare inosservato alla scansione eseguita da parte delle soluzioni antimalware.
Utilizzando le risorse citate in precedenza, le informazioni vengono suddivise in più frammenti che vengono poi successivamente correlati al momento del bisogno.
Si pensi ad esempio all’utilizzo del registro di sistema: Regedit e registro di sistema: guida agli aspetti più utili. Secondo SafeBreach, creando nel registro un insieme di valori REG_BINARY
e salvandoli in diverse posizioni, AltFS può gestire il caricamento di script e istruzioni di vario genere (anche potenzialmente dannose) senza generare sospetti.