Uma nova técnica fileless está sendo usada por cibercriminosos para escapar de antivírus e plataformas de detecção em endpoints. O método, que carrega código malicioso diretamente na memória sem criar arquivos em disco, dificulta significativamente a identificação por soluções tradicionais de segurança. O ataque começa com o uso de APIs legítimas do Windows, como InternetOpenUrlA e InternetReadFile, para baixar um executável portátil (PE) diretamente para a memória do sistema.
Em seguida, o binário é reconstruído em um buffer, suas dependências são resolvidas, os endereços de memória são ajustados e o ponto de entrada é executado, tudo isso sem que qualquer artefato seja gravado no disco. Essa abordagem torna ineficazes muitas das técnicas utilizadas por soluções EDR e antivírus que dependem da análise de arquivos para detectar ameaças. Mesmo ferramentas avançadas, como Microsoft Defender for Endpoint e Sophos XDR, falharam em detectar a execução desse tipo de carga maliciosa durante testes conduzidos por pesquisadores. A técnica aproveita a confiança de processos legítimos do sistema operacional, realizando a injeção de código em sua memória e se aproveitando do fato de que não há interações com o sistema de arquivos.
Isso torna o ataque extremamente furtivo, dificultando investigações forenses e respostas em tempo hábil. Esse avanço representa uma evolução nas estratégias de evasão usadas por atacantes, que cada vez mais buscam formas de contornar as defesas baseadas em assinatura ou em comportamento superficial. A técnica é especialmente perigosa em ambientes corporativos onde soluções tradicionais de segurança ainda são a principal linha de defesa.
