تلجأ الجهات التخريبية إلى استخدام التهديدات الخالية من الملفات في العديد من أنشطتها الخبيثة، بدءا من الهجمات الموجهة المتقدمة والحملات واسعة الانتشار التي تعتمد على البرمجيات الخبيثة وحتى البرمجيات الخبيثة العامة، مثل البرمجيات الإعلانية.
ويكشف باحثو كاسبرسكي باستمرار عن هذه التهديدات التي ترد ضمن حملات هجوم مختلفة، مثل PowerGhost، والهجمات على البنوك باستخدام DarkVishnya، وAPTs Turla، وPlatinum APT.
ويعد اكتشاف البرمجية الخبيثة التي لا تحتوي على أي ملفات أكثر تعقيدا من اكتشاف نظيراتها الأخرى، نظرا لأن الشيفرة الخبيثة لا تخزن نفسها على محرك أقراص ثابت، فبوسعها أن توجد في الذاكرة أو السجل أو في وحدة جدولة المهام Task Scheduler الخاصة بنظام التشغيل أو مخازن نظام Windows، مثل عناصر WMI.
وأجرت AV-TEST اختبارات على المنتجات ضمن فئات مختلفة من الهجمات الخالية من الملفات، وشملت الاختبارات تنفيذ البرمجيات الخبيثة من تخزين WMI أو عبر Task Scheduler، وتشغيل نص PowerShell بعد تنفيذ عمليات الاستغلال أو تفعيل وحدات الماكرو. وعلاوة على ذلك، راقبت الاختبارات أيضا وقوع الإنذارات الكاذبة.
وكان الحل Kaspersky Endpoint Security for Business الوحيد الذي استطاع الكشف عن جميع الهجمات الـ 33 بمعدل 100%، من بين جميع الحلول التي خضعت للاختبار، في حين بلغ معدل الاكتشاف في جميع المنتجات 67.75%.
أما بالنسبة للحماية والعلاج، فقد منع منتج كاسبرسكي 48 من 51 إجراء خبيثا، مقارنة بمتوسط حماية بلغ 59.10%، في حين كشف اختبار الإنذارات الكاذبة عن عدم حدوث اكتشافات غير صحيحة في منتج كاسبرسكي.
ووفقا لشركة AV-TEST، فقد أجري هذا الاختبار «لاكتشاف كيفية ارتباط وعود التسويق بالحماية الفعالة للتهديدات الخالية من الملفات، والمزاعم المتعلقة بالمزايا غير المعقولة لبعض أدوات الحماية، ومدى ارتباط الشعارات الإعلانية المختلفة بالواقع».
وأوضحت الشركة أن هذا الاختبار يهدف إلى «إظهار ما يمكن للبرمجيات الخبيثة أن تفعله، وتبيان المنتجات الأمنية القادرة على اكتشاف الهجمات الخطأ وحظرها وعلاجها، بغض النظر عما تزعمه الشركات المنتجة عن القدرات التي تتمتع بها حلولها».