De Canadese overheid heeft een waarschuwing voor fileless malware gegeven die bij een recente aanvalscampagne is gebruikt. Het gaat om de Astaroth-malware waar Microsoft onlangs ook al voor waarschuwde. Fileless malware is al geruime tijd een populaire aanvalsmethode voor aanvallers, zo meldt het Canadese Centre for Cyber Security (CCCS).

"De malware maakt meestal gebruik van standaardapplicaties om de kwaadaardige activiteiten te verbergen. Daarnaast blijft het oorspronkelijke infecterende bestand meestal niet achter op de harde schijf", aldus het CCCS. Dit kan het detecteren van fileless malware lastiger maken. Om gebruikers met dergelijke malware te infecteren wordt er bijvoorbeeld van e-mailbijlagen gebruikgemaakt.

"Hoewel dit normaal is voor malware-aanvallen, creëert de payload geen bestanden op de harde schijf, maar blijft alleen in het geheugen actief. De volgende fase van de aanval kan verschillen, maar vaak wordt er data aan het register toegevoegd om persistent aanwezig te blijven of veelgebruikte processen zoals PowerShell of Windows Management Instrumentation (WMI) te laden", gaat het CCCS verder. Na de initiële infectie kunnen de aanvallers proberen om andere systemen in het netwerk aan te vallen of aanvullende malware te installeren.

Om besmettingen door fileless malware te voorkomen adviseert de Canadese overheidsinstantie standaardmaatregelen, zoals het installeren van beveiligingsupdates, het uitschakelen van onnodige diensten en applicaties, het aanleggen van een gelaagde it-beveiliging, het creëren van awareness bij gebruikers, het geven van cybersecuritytrainingen, het geregeld controleren van de logbestanden en het laten uitvoeren van audits.