Dans un dernier rapport, McAfee Labs révèle un changement dans les tactiques des cybercriminels qui se détournent des menaces par logiciels malveillants externes pour des cyberttaques « sans fichier ». Leur principale caractéristique est de n'installer aucun logiciel sur l'ordinateur d'un utilisateur, rendant de fait l'attaque extrêmement difficile à détecter. Parmi les cybermenaces « sans fichier » on trouve par exemple CactusTorch, qui peut exécuter un shellcode personnalisé sur les systèmes Windows, et s'est rapidement développé selon McAfee Labs.
CactusTorch utilise la technique NotNetToJScript, qui charge et exécute des blocs de construction .NET malveillants directement à partir de la mémoire. Ces derniers constituent la plus petite unité de déploiement d'une application, telle que .dll ou .exe. Comme avec d'autres techniques d'attaque sans fichier, DotNetToJScript n'écrit aucune partie de l'assembly .NET malveillant sur le disque dur d'un ordinateur, ce qui signifie que les scanners de fichiers traditionnels ne parviennent pas à détecter ces attaques. Ce type d'attaque trompe les bibliothèques .NET de confiance exposées sur COM, car dans cette classe d'attaque, l'assembly .NET malveillant n'est jamais écrit/déposé sur le disque. L'ensemble du processus de chargement et d'exécution de binaires malveillants se produit dans la mémoire au moment de l'exécution. Pour cette raison, la technique contourne la plupart de la détection traditionnelle basée sur le scanner de fichiers.
Croissance de 432% des cyberattaques « sans fichier » par rapport à 2017
La croissance de la catégorie de menace « sans fichier » a également été mise en évidence dans le récent rapport sur les menaces du deuxième trimestre de McAfee. De nombreuses campagnes malveillantes sans fil ont été découvertes afin de tirer parti de Microsoft PowerShell pour lancer des attaques en mémoire pour créer une porte dérobée dans un système. Ces dernières ont progressé de 432% par rapport à 2017 selon l'éditeur. D'après un autre rapport sur les risques de sécurité de l'état du point de terminaison, cette fois de Ponemon Institute, les attaques « sans fichier » ont dix fois plus de chances de réussir que les attaques traditionnelles. Ce type de cyberattaque tir parti du facteur de confiance entre les logiciels de sécurité et les applications Windows authentiques et signées. Parce que ce type d'attaque est lancé par des exécutables réputés et fiables, ces attaques sont difficiles à détecter, selon McAfee Labs.