Киберпреступники все чаще применяют так называемые «бесфайловые» методы взлома, при которых на компьютер жертвы не устанавливается никаких дополнительных программных файлов, отчего такую атаку очень трудно выявить, сообщают специалисты McAfee Labs.
В частности, быстро растет количество атак с помощью инструмента CactusTorch, который может запускать на системах Windows команды оболочки. В CactusTorch используется метод, известный под названием NotNetToJScript. Он загружает в память и запускает прямо из памяти вредоносные сборки. NET, не записывая их на диск. При этом используются доверенные библиотеки .NET, доступ к которым открыт через интерфейс COM.
Рост количества бесфайловых кибератак отражен и в последнем ежеквартальном докладе об угрозах, опубликованном фирмой McAfee. Количество атак, использующих для взлома системы оболочку Microsoft PowerShell, выросло по сравнению с 2017 годом на 432%, говорится в докладе. По оценкам специалистов Ponemon Institute, шансы на успех бесфайловых атак в десять раз больше, чем у атак с использованием файлов.