– Vi ser det varje dag, säger Steven Lentz som är säkerhetschef på Samsung Research America. Något som slinker igenom, någon slags exploit, något okänt ransomware. Vi har stoppat flera olika saker med våra försvar, både inne i nätverket och på klienterna.

Han pratar om fillösa attacker, eller attack utan fotavtryck. De blir allt vanligare och har använts i flera uppmärksammade dataintrång de senaste åren. Attacken mot Equifax och angreppet mot det demokratiska partiet i USA i förra årets valrörelse är kanske de två mest kända exemplen.

Den gemensamma nämnaren är att fillösa attacker använder applikationer som redan finns på datorn eller i nätverket, istället för att installera ny mjukvara. Det kan handla om att utnyttja buggar i systemet för att kunna köra skadlig kod i webbläsarplugin, att bädda in den i Word-makron eller genom att köra skript i Powershell.

Läs också: Amerikanska myndigheter kastar ut Kaspersky efter spionanklagelser

Genom att gömma den skadliga koden är det lättare att flyga under säkerhetsverktygens radar och slinka obemärkt förbi. Och hackarna har sett fördelarna.

McAfee har sett en ordentlig ökning av antalet attacker via makrovirus de senaste åren. Från 400 000 attacker för sista kvartalet 2015 till 1,1 miljoner andra kvartalet i år. Närapå en tredubbling på ett och ett halvt år. Förra året rapporterade Intel Security en liknande utveckling.

Bilden delas av den forna NSA-hackaren Mike Viscuso, som i dag är teknikchef på säkerhetsföretaget Carbon Black. Han säger till CSO att de fillösa attackerna ökade ordentligt under 2016.

– Och vi ser fortfarande en ökning. Vi kan se att så många som en av tre infektioner har fillösa komponenter i sig, säger Mike Viscuso.

En kartläggning som företaget gjort visar att i princip samtliga av deras över 1 000 kunder utsattes för någon slags fillös attack förra året. Dessutom visade det sig att de fillösa attackerna oftare hittar rätt – de stod för över hälften av de lyckade intrånget.

– Om jag inte lägger en fil på offrets dator, hur noga kollas jag då? Det är så mycket värre när en angripare väljer att använda en attack utan filer eller en som körs i arbetsminnet. De attackerna går inte genom samma granskning och lyckas därför mycket oftare, säger Mike Viscusio.

Det är inte heller så att hackarna tappar kapacitet på att använda fillösa attacker menar han. Det går precis lika bra att genomföra ett ransomware-angrepp via Powershell eller genom att köra kod i arbetsminnet. "Det finns inga begränsningar", konstaterar Mike Viscusio.

Hur skyddar man sig?

De fillösa virusen är smartare, men de är inte ostoppbara. Traditionella antivirus har kanske svårt att känna igen skadlig kod när den är dold i ett annat program, men säkerhetsföretagen jobbar för fullt med att hitta andra lösningar.

– Skadeprogram helt utan fotavtryck finns inte, eftersom det finns sätt att upptäcka virus även om de inte installeras på hårddisken, säger analytikern Cristiana Braftman på säkerhetsfirman Fireeye till CSO.

Säkerhetslösningar kan dessutom stoppa den skadliga koden från att köras i ett tidigare skede; när bluffmejlet landar eller när användaren klickar på en suspekt länk i webbläsaren.

Något annat som talat emot fillösa attacker är att de krävt skickligare hackare. Fast det är inte nödvändigtvis sant längre.

De senaste åren har det släppts en rad exploit kits, färdigpaketerade hackerverktyg, som utnyttjar fillösa metoder för att sprida skadlig kod, säger Christiaan Bleek som är chefsforskare på McAfee till CSO. Plötsligt har alla tillgång till teknik som länge var reserverad för statliga aktörer.

Läs också: Superhackaren Frans Rosén: "Därför blir it-säkerhet allt viktigare"

Men precis som Fireeye har bolaget försökt hitta sätt att stoppa attackerna. För McAfees del handlar det om att utveckla intelligenta säkerhetslösningar som lär sig känna igen hur virus gömda in i andra applikationer beter sig.

– Om exempelvis ett Word-dokument körs samtidigt som vi ser en Powershell-anslutning börjar det kännas väldigt suspekt. Då kan vi sätta processen i karantän, eller döda den, säger Christiaan Bleek.

Fast även de smarta säkerhetslösningarna går att överlista. Det menar Tod Beardsley som är chef för Rapid7:s forskningsavdelning.

– Man förlitar sig på att kunna upptäcka när ovanliga händelser börjar ske, som om någon tar över mitt användarkonto och det ser ut som att jag börjar ansluta till en massa maskiner som jag inte kommunicerat med förut, säger, Tod Beardsley.

Det är inte helt lätt att sätta stopp innan en sådan process hunnit köra igång, eller om koden är designad för att förvirra säkerhetsverktygens algoritmer.

– Om motståndaren lägger energi på att verka tyst och långsamt är det mycket svårare att upptäcka attacken, säger han. Det kan vara så att vi bara upptäcker de klumpiga [attackerna] eftersom det är de som är lättast att se. Om du är superbra på att dölja spåren kommer jag inte att se dig.

Sedan finns det ett par saker som slutanvändarna kan göra för att skydda sig. Dels att slå av makron i Office-paketet, dels att se till att hålla mjukvaran uppdaterad. Fillösa attacker måste förlita sig på applikationerna som redan finns på datorn, och hoppas på att hitta buggar att utnyttja.

– Det krävs sårbarheter i mjukvaran som redan är installerad på datorn för att genomföra en fillös attack, så det viktigaste steget för att stoppa dem är att uppdatera både operativsystemet och applikationerna, säger Jon Heimerl som jobbar på säkerhetsfirman NTT Security.

– Webbläsarplugin är de applikationer som oftast blir förbisedda i uppdateringsprocessen och det är de som oftast är målet i fillösa attacker.