Malware sem arquivos: como funciona, técnicas e defesa

Início » Malware sem arquivos: como funciona, técnicas e defesa

O malware sem ficheiros (fileless malware) virou uma das formas mais furtivas de ataque digital porque praticamente não deixa rasto no disco e se apoia em componentes legítimos do próprio sistema operativo. Em vez de instalar um executável visível, o atacante injeta código diretamente na memória, usa scripts como PowerShell ou VBScript e tira partido de vulnerabilidades e processos já existentes no Windows.

Compreender a fundo como funciona este tipo de ameaça, quais são as suas técnicas, etapas e formas de deteção é crucial para qualquer empresa ou profissional de TI que queira manter os seus dados a salvo. Vamos mergulhar em todos os detalhes: desde a definição técnica e a evolução histórica até às estratégias modernas de defesa baseadas em comportamento, XDR, EDR e outras camadas avançadas de segurança.

O que é malware sem arquivos?

Malware sem arquivos é um tipo de código malicioso que executa a sua lógica principal diretamente na memória (RAM) sem depender de novos ficheiros executáveis gravados no disco, além dos que já existem no sistema. Em vez de instalar um .exe clássico, o atacante injeta ou dispara código dentro de processos legítimos, utiliza scripts de sistema e zonas voláteis, como a memória ou partes específicas do Registo do Windows.

Na prática, o atacante costuma explorar processos já em execução ou componentes confiáveis do sistema operativo para carregar e correr o código malicioso. Muitas vezes, esse código é injetado em processos como o PowerShell, WMI, rundll32, mshta ou outros binários assinados e confiáveis, evitando assim gerar ficheiros suspeitos que possam ser facilmente detetados por antivírus tradicionais baseados em assinatura.

Um caso típico observado em campanhas reais envolveu documentos do Word maliciosos enviados por spam, nos quais, ao ativar macros, o documento executava comandos PowerShell que carregavam um executável diretamente em memória, sem nunca o escrever no disco. “Sem arquivos” neste contexto não significa que nada nunca use o sistema de ficheiros, mas sim que o payload principal vive e opera na memória, fugindo aos métodos clássicos de análise de ficheiros.

Existem várias formas de executar código sem usar novos executáveis gravados no endpoint: VBScript, JScript, scripts por lotes (batch), PowerShell, Windows Management Instrumentation (WMI), bem como binários nativos do Windows como mshta ou rundll32. Esses componentes são frequentemente assinados e considerados confiáveis pelo sistema, o que torna a deteção ainda mais desafiante.

Outro subtipo importante é o malware escondido em documentos, como ficheiros do Microsoft Office ou PDFs. Esses ficheiros, apesar de não serem executáveis clássicos, podem explorar vulnerabilidades nos leitores de documentos ou abusar de funcionalidades como macros e DDE (Dynamic Data Exchange) para obter execução de código em memória, desencadeando um ataque sem arquivos.

Como funciona o malware sem arquivos na prática

O mecanismo de funcionamento do malware sem arquivos é muito semelhante ao do malware tradicional em termos de objetivos — roubar dados, cifrar ficheiros, manter acesso remoto, minerar criptomoedas, entre outros —, mas difere profundamente na forma como o código é carregado e persistido no sistema.

Em muitos cenários, o ponto de partida é um e-mail de phishing ou uma página web maliciosa. O utilizador é enganado para clicar num link ou abrir um anexo, muitas vezes através de engenharia social que explora curiosidade, urgência ou medo. Ao abrir o documento ou aceder ao site fraudulento, um script malicioso é executado (por exemplo, através de Flash legado, JavaScript obfuscado ou macros), que por sua vez lança um comando shell ou PowerShell para descarregar e executar o payload diretamente em RAM.

Isso significa que praticamente nenhuma parte crítica do ataque é escrita de forma permanente no disco. O código é injetado na memória de um processo legítimo, executa as suas rotinas (roubo de credenciais, cifragem, exfiltração de dados, movimentação lateral) e pode desaparecer quando o sistema é reiniciado, deixando muito poucos artefactos forenses tradicionais.

Uma estratégia-chave é “viver da terra” (Living off the Land, LotL): o atacante reutiliza binários e ferramentas já presentes no sistema operativo para executar ações maliciosas. PowerShell é o exemplo mais conhecido, mas WMI, PsExec, SC, NETSH e outros utilitários padrão do Windows também são largamente abusados. Como são componentes assinados e necessários para administração legítima, bloqueá-los de forma cega não é viável na maioria das organizações.

Outra via comum é a exploração de vulnerabilidades em aplicações ou serviços, como buffer overflows ou falhas de execução remota de código (RCE). Ao explorar essas falhas, o invasor executa código arbitrário dentro do processo vulnerável, sem necessidade de colocar um ficheiro malicioso no disco. Isto foi visto em worms como CodeRed e SQL Slammer, que ficavam essencialmente residentes em memória e se propagavam via rede.

Capacidades e objetivos do malware sem arquivos

O malware sem arquivos consegue fazer praticamente tudo o que o malware tradicional baseado em ficheiros faz. A principal diferença está na forma de implantação e evasão, não nas capacidades finais. Pode atuar como ladrão de informação, ransomware, RAT (Remote Access Trojan), minerador de criptomoedas, componente de APT (ameaças persistentes avançadas) e muito mais.

Como ladrão de dados, o malware sem arquivos pode recolher credenciais, cookies, tokens de sessão e informação sensível, transmitindo-os para servidores de comando e controlo. Muitas campanhas usam ferramentas conhecidas como Mimikatz, executadas via PowerShell ou scripts injetados em memória, para extrair passwords e hashes diretamente do sistema comprometido.

No contexto de ransomware, variantes sem arquivos podem cifrar dados sem nunca escrever um executável dedicado no disco. O código de cifragem é carregado na memória através de scripts, explorando processos confiáveis. Como o processo de cifragem começa sem gatilhos óbvios de instalação de ficheiros, a deteção tradicional pode ser demasiado lenta, sendo comum as vítimas só perceberem o ataque quando os ficheiros já estão inutilizáveis.

Para grupos de cibercrime organizados, ataques sem arquivos são ideais para estabelecer backdoors persistentes discretas. Com credenciais roubadas e código residente na memória ou em áreas pouco monitorizadas do Registo do Windows, é possível manter acesso durante meses, exfiltrando dados em pequenas quantidades para não chamar a atenção de sistemas de monitorização de tráfego.

Estudos e relatórios de risco mostram que este tipo de ataque cresceu de forma explosiva na última década. Houve períodos em que as tentativas de ataque baseadas em PowerShell duplicaram de um mês para o outro, refletindo a preferência crescente dos atacantes por vetores fileless, justamente porque evitam muitas camadas de defesa baseadas em ficheiros e assinaturas.

Características distintivas e técnicas comuns

Uma das principais características do malware sem arquivos é o uso intensivo de programas já existentes na máquina, tais como consoles de script, binários administrativos e serviços de sistema. Isto torna o comportamento muito semelhante ao de tarefas de administração legítimas, o que complica o trabalho dos motores heurísticos e dos analistas.

Outra característica é a residência em memória: o código malicioso vive sobretudo na RAM ou em estruturas voláteis. Alguns ataques também aproveitam o Registo do Windows como armazém para scripts ofuscados, chaves de execução automática e configurações que restauram o ataque após reinício, mantendo a componente “quase sem ficheiros”.

Em ataques mais sofisticados, o malware sem arquivos é combinado com outras famílias de malware. Por exemplo, um exploit kit baseado em browser pode injetar um shellcode em memória, que por sua vez descarrega um módulo de ransomware temporário, executa o ataque e depois apaga vestígios. Em certos ambientes, estes conjuntos conseguem contornar até listas brancas de aplicações e sandboxes mal configuradas.

Entre as técnicas mais comuns de malware sem arquivos podemos destacar:

• Malware residente em memória, aproveitando o espaço de memória de processos reais do Windows, onde o código malicioso fica adormecido até ser acionado por um evento específico.
• Malware baseado no Registo de Windows, em que o payload é escrito em chaves do Registo e invocado por scripts ou execuções automáticas; muitas vezes o instalador temporário autodestrói-se, deixando apenas o componente em memória ou no Registo.
• Uso de credenciais comprometidas, em que o invasor autentica-se como um utilizador legítimo e, a partir daí, executa código em memória usando ferramentas administrativas nativas, muitas vezes deixando portas traseiras persistentes.
• Ransomware sem arquivos, que utiliza scripts e binários confiáveis para cifrar dados, evitando a escrita de executáveis de ransomware claros no disco.
• Kits de exploração (exploit kits), que examinam o sistema em busca de vulnerabilidades e constroem cadeias de exploração específicas para cada vítima, tudo disparado a partir de páginas web ou documentos adulterados.

Essas técnicas aproveitam, em grande medida, a dificuldade que as empresas têm em bloquear ferramentas essenciais como PowerShell, macros do Office ou utilitários de administração remota. Bloqueá-las por completo afetaria a produtividade e as rotinas de TI, por isso os atacantes exploram esse “espaço cinzento” operativo.

Etapas de um ataque de malware sem arquivos

Apesar de usar uma abordagem diferente na parte técnica, um ataque fileless segue etapas lógicas semelhantes às de outros ataques de malware. Entender cada fase ajuda a definir controlos de segurança adequados em diferentes pontos da cadeia.

Primeira etapa: acesso inicial. O atacante precisa de um ponto de entrada no sistema ou na rede. Normalmente isso ocorre via phishing (e-mails com anexos ou links maliciosos), downloads drive-by num site comprometido, exploração de vulnerabilidades em aplicações web ou uso de credenciais já roubadas. Em ambientes corporativos, é comum o alvo serem utilizadores com altos privilégios, como pessoal financeiro ou de RH.

Segunda etapa: execução. Assim que o atacante obtém o primeiro acesso, é disparado o código em memória. Por exemplo, ao abrir um documento Office e ativar macros, um script pode chamar PowerShell com parâmetros obfuscados para descarregar e correr o payload diretamente na RAM. Noutros casos, um exploit numa aplicação vulnerável injeta shellcode num processo legítimo, iniciando atividades maliciosas sem ficheiros novos no disco.

Terceira etapa: persistência. Depois do primeiro sucesso, o malware quer garantir que o acesso não se perde. Técnicas comuns incluem criar chaves de execução automática no Registo, agendar tarefas que chamam scripts escondidos, ou armazenar código em locais pouco monitorizados (como certas entradas de WMI ou de serviços). Tudo isto pode ser feito mantendo a filosofia “quase sem ficheiros”.

Quarta etapa: objetivos e exfiltração. Com a persistência estabelecida, o atacante passa a cumprir a sua missão: roubar dados, cifrar ficheiros para extorsão, espiar comunicações, movimentar-se lateralmente pela rede ou instalar outros componentes de malware. Na fase final, a informação é exfiltrada para servidores externos ou usada para chantagem, frequentemente sem disparar alarmes óbvios.

Em ameaças persistentes avançadas (APT), estas etapas podem desenrolar-se ao longo de meses. Os atacantes movimentam-se lentamente, recolhendo dados em pequenas quantidades e abrindo múltiplas backdoors para garantir que uma simples limpeza numa máquina não elimina o seu acesso global à rede.

Desafios para empresas e fornecedores de segurança

Para as empresas, o grande problema do malware sem arquivos é que não se pode simplesmente bloquear todos os binários e scripts que são usados nos ataques. Impedir PowerShell, por exemplo, causaria enormes dores de cabeça à equipa de TI, que o usa para automatizar tarefas administrativas. O mesmo vale para bloquear macros de Office de forma cega, o que afetaria significativamente fluxos de trabalho em muitos departamentos.

Como o impacto direto no sistema de ficheiros é mínimo e quase não surgem executáveis estranhos, as soluções clássicas de antivírus e de segurança de endpoint que se baseiam sobretudo em assinaturas e reputação de ficheiros têm muita dificuldade em detetar e prevenir esse tipo de ameaça de forma consistente.

Os próprios fornecedores de segurança tiveram de correr atrás do prejuízo para responder a esta tendência. Muitos lançaram “remendos” e funcionalidades pontuais para alegar proteção contra ataques sem arquivos, mas várias dessas soluções mostraram-se insuficientes. Bloquear PowerShell por completo, por exemplo, é ineficaz quando os atacantes podem usar versões embutidas, DLLs carregadas via rundll32 ou técnicas que convertem scripts em executáveis disfarçados (como PS2EXE).

Bloquear ou analisar macros de Office é outra abordagem típica, mas com limitações claras. Desativar todas as macros funciona em alguns ambientes, porém muitos negócios ainda dependem delas. E tentar classificar macros via análise estática é complicado: o código é extremamente variado, falta um repositório robusto de amostras benignas/maliciosas e os atacantes mudam pequenos trechos para evitar reconhecimento.

Alguns produtos tentam centralizar toda a deteção no lado do servidor ou na nuvem, recolhendo eventos do agente e tomando decisões remotamente. Isso tem a desvantagem óbvia de depender de conectividade e de atrasar a resposta: o agente precisa esperar por uma decisão antes de agir, o que reduz a eficácia da prevenção em tempo real.

Deteção: comportamento em vez de ficheiros

Uma forma muito mais eficaz de encarar o malware sem arquivos é focar no comportamento dos processos em execução, e não apenas na identidade dos ficheiros. Em vez de perguntar “este ficheiro é conhecido como malicioso?”, a questão passa a ser “o que este processo está realmente a fazer no sistema?”

Mesmo existindo uma quantidade gigantesca de variantes de malware, os padrões de comportamento nocivo são bem mais limitados. Acesso em massa e fora de padrão a ficheiros sensíveis, chamadas suspeitas ao Registo, comunicações de rede inesperadas para domínios anómalos, uso encadeado de ferramentas administrativas em horários estranhos — tudo isso são sinais que podem indicar ataque, independentemente de haver ou não um executável malicioso claro no disco.

Soluções modernas de EDR e plataformas XDR de ponta usam motores de IA estática e comportamental para correlacionar estes eventos e distinguir entre atividade legítima e maliciosa. Mesmo quando o vetor de entrada é um documento Office, um kit de exploits num browser ou um script PowerShell ofuscado, o padrão de ações consequentes (criação de backdoor, cifragem de dados, dump de credenciais, etc.) tende a ser reconhecível.

Um exemplo clássico foi a campanha do ransomware WannaCry, em que soluções baseadas em comportamento foram capazes de bloquear o ataque em clientes protegidos, antes de existirem assinaturas específicas amplamente distribuídas. Isso demonstra como a análise comportamental é especialmente valiosa para enfrentar ameaças fileless e de dia zero.

Outro ponto crucial é a caça proativa a ameaças (threat hunting). Em vez de esperar por alertas automáticos, equipas especializadas vasculham logs e telemetria de endpoints e rede em busca de indicadores subtis de ataque: comandos PowerShell fora do padrão, scripts incomuns no Registo, conexões estranhas entre segmentos de rede internos, entre outros.

Exemplos de plataformas e abordagens avançadas

Algumas soluções de segurança modernas alinham várias camadas de proteção especificamente pensadas para lidar com malware sem arquivos. Ferramentas de XDR (Extended Detection and Response) dão visibilidade centralizada sobre endpoints, rede, e-mail, aplicações cloud e mais, permitindo correlacionar eventos e detetar cadeias complexas de ataque.

Arquiteturas de “defesa em profundidade” combinam tecnologias como prevenção de intrusões (IPS), EDR/EPP, filtragem avançada de e-mail e políticas de confiança zero. O IPS ajuda a bloquear exploits de rede e worm-like (como alguns vapourworms baseados em scripts), enquanto EDR monitoriza close to real time o comportamento de processos no endpoint, incluindo chamadas a PowerShell, WMI e outros binários críticos.

Soluções específicas de endpoint, quando bem desenhadas, instalam um agente ao nível do núcleo (kernel-level) capaz de observar todas as atividades importantes: criação e terminação de processos, argumentos de linha de comandos, alterações ao Registo, acessos a ficheiros, ligações de rede. Com esse contexto completo, o agente consegue não só detetar como também reverter ações maliciosas, restaurando o sistema a um estado limpo após um incidente.

Alguns fornecedores introduziram conceitos como “StoryLine” para reconstruir automaticamente a história completa de um ataque. Em vez de culpar apenas o processo que executou a cifragem ou o roubo de dados, a solução rastreia a cadeia até à causa raiz (por exemplo, uma macro maliciosa num documento recebido via e-mail). Isso permite agir com precisão sobre todo o grupo de processos relacionados, isolando e mitigando a ameaça sem interromper injustamente processos de negócio inocentes.

Serviços de prevenção de intrusões e soluções combinadas de EPP + EDR (como alguns produtos EPDR) também são cada vez mais comuns. Eles ajudam a detetar exploits baseados em scripts, bloquear tráfego malicioso antes de atingir o endpoint e identificar comportamentos anómalos na rede interna, reduzindo drasticamente a janela de oportunidade para ataques fileless.

Impacto para as organizações e riscos de negócios

Os ataques sem arquivos tendem a causar danos semelhantes — ou até superiores — aos ataques clássicos baseados em ficheiros, justamente porque permanecem escondidos durante mais tempo. Perdas de dados, interrupções de serviço, fuga de propriedade intelectual e ransomwares multimilionários são alguns dos cenários possíveis.

A longo prazo, as consequências incluem custos com litigação, multas de conformidade e danos reputacionais. Muitos incidentes acabam por afetar receitas futuras devido à quebra de confiança de clientes e parceiros, além do esforço financeiro para reforçar infraestruturas de segurança depois do ataque.

A persistência silenciosa é um dos aspetos mais perigosos do malware sem arquivos. Mesmo depois de um incidente parecer contido, podem permanecer backdoors discretas configuradas via Registo, WMI, tarefas agendadas ou contas comprometidas. Isso dá ao atacante a capacidade de regressar ao ambiente semanas ou meses mais tarde, explorando a falsa sensação de segurança instaurada após a “limpeza”.

Do ponto de vista forense, o malware sem arquivos é um pesadelo adicional, porque a maior parte das evidências reside em memória ou em registos voláteis que desaparecem com um simples reboot. Muitos modelos tradicionais de investigação digital assumem que será possível obter artefactos persistentes no disco, o que nem sempre é o caso com estas ameaças modernas.

Por isso, as equipas de resposta a incidentes precisam adaptar procedimentos para incluir captura rápida de memória, recolha de logs detalhados de EDR/XDR e correlação de eventos em tempo quase real, e remover um programa do PC corretamente, caso contrário a narrativa completa do ataque pode perder-se de forma irreversível.

Estratégias eficazes de prevenção e mitigação

Proteger-se de malware sem arquivos exige uma abordagem em camadas, combinando tecnologia, processos e formação. Não basta instalar um antivírus e esperar que ele faça milagres; é necessário repensar como a organização lida com scripts, macros, privilégio de contas e monitorização contínua.

Um primeiro passo crítico é gerir de forma inteligente o uso de ferramentas de alto risco como PowerShell. Em vez de simplesmente bloquear, vale a pena aplicar restrições de políticas de execução, registar e auditar comandos, limitar o seu uso a administradores e monitorizar cuidadosamente padrões incomuns de utilização.

Macros de Microsoft Office devem ser tratadas com máximo cuidado. Sempre que possível, desativar macros por defeito e só permitir a sua execução em documentos assinados e provenientes de fontes internas confiáveis. Ferramentas de segurança podem extrair e analisar automaticamente o código de macros, embora este processo tenha limitações; ainda assim, é uma camada adicional de proteção.

Manter aplicações e sistemas operativos corrigidos (patching) reduz a superfície de ataque. Muitos ataques sem arquivos exploram vulnerabilidades conhecidas que já possuem correções disponíveis. Complementarmente, sistemas de prevenção de intrusões (IPS) podem aplicar “patches virtuais” na camada de rede, bloqueando o uso de exploits mesmo em sistemas que, por motivos operacionais, ainda não foram atualizados.

Investir em autenticação forte e modelos de confiança zero (Zero Trust) também é essencial. Como os invasores cada vez mais abusam de credenciais legítimas e ferramentas de acesso remoto (como RDP), a implementação de MFA (autenticação multifator) e políticas que presumem desconfiança inicial em qualquer acesso ajuda a limitar o movimento lateral e o impacto de uma conta comprometida.

Por fim, é indispensável ter ferramentas de monitorização e prevenção de intrusões bem configuradas, tanto na rede como nos endpoints. Monitorizar padrões de acesso a ficheiros sensíveis, volumes anómalos de leitura/escrita e comportamentos suspeitos de processos permite detetar rapidamente atividades fileless antes que se tornem um desastre de grandes proporções.

Em última análise, o malware sem arquivos é mais um capítulo na corrida armamentista entre atacantes e defensores: ao abandonar a dependência de ficheiros visíveis e passar a viver na memória e em processos legítimos, estes ataques obrigam as organizações a evoluir para uma segurança baseada em comportamento, contexto e múltiplas camadas, onde EDR, XDR, IPS, políticas de confiança zero e formação contínua dos utilizadores trabalham juntos para manter a superfície de ataque sob controlo e reduzir a probabilidade de uma intrusão passar despercebida durante meses.