Cobalt Strike
Tabloul de scor amenințări
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards sunt rapoarte de evaluare pentru diferite amenințări malware care au fost colectate și analizate de echipa noastră de cercetare. EnigmaSoft Threat Scorecards evaluează și clasifică amenințările folosind mai multe valori, inclusiv factori de risc din lumea reală și potențiali, tendințe, frecvență, prevalență și persistență. EnigmaSoft Threat Scorecards sunt actualizate în mod regulat pe baza datelor și valorilor noastre de cercetare și sunt utile pentru o gamă largă de utilizatori de computere, de la utilizatorii finali care caută soluții pentru a elimina programele malware din sistemele lor până la experții în securitate care analizează amenințările.
EnigmaSoft Threat Scorecards afișează o varietate de informații utile, inclusiv:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nivel de severitate: nivelul de severitate determinat al unui obiect, reprezentat numeric, pe baza procesului și cercetării noastre de modelare a riscului, așa cum este explicat în Criteriile noastre de evaluare a amenințărilor .
Calculatoare infectate: numărul de cazuri confirmate și suspectate ale unei anumite amenințări detectate pe computerele infectate, așa cum este raportat de SpyHunter.
Consultați și Criteriile de evaluare a amenințărilor .
| Popularity Rank: | 12,709 |
| Nivel de amenintare: | 80 % (Înalt) |
| Calculatoare infectate: | 100 |
| Prima vedere: | October 29, 2021 |
| Vazut ultima data: | January 15, 2026 |
| OS afectat(e): | Windows |
Programul malware Cobalt Strike este un software amenințător care este folosit pentru a viza instituțiile financiare și alte organizații și poate infecta computerele care utilizează sisteme Windows, Linux și Mac OS X. A fost descoperit pentru prima dată în 2012 și se crede că este opera unui grup de criminalitate cibernetică vorbitor de limbă rusă, cunoscut sub numele de Cobalt Group. Programul malware este conceput pentru a colecta bani de la bănci, bancomate și alte instituții financiare prin exploatarea vulnerabilităților din sistemele lor. Acesta a fost legat de mai multe atacuri de mare profil, inclusiv unul asupra Băncii Bangladeshului în 2016, care a dus la furtul a 81 de milioane de dolari. Cobalt Strike poate fi folosit și pentru exfiltrarea datelor, atacuri ransomware și atacuri Distributed Denial-of-Service (DDoS).
Cum se infectează un computer cu programul malware Cobalt Strike
Programul malware Cobalt Strike este de obicei răspândit prin e-mailuri sau site-uri web corupte. E-mailurile pot conține link-uri către site-uri web nesigure, care apoi pot descărca Cobalt Strike pe un computer. În plus, Cobalt Strike poate fi răspândit prin descărcări drive-by, în cazul în care un utilizator nebănuit vizitează un site web care a fost infectat cu amenințarea. Odată instalat pe un computer, Cobalt Strike poate fi folosit pentru a colecta date și bani de la instituțiile financiare.
De ce le place hackerilor să folosească lovitura de cobalt în atacurile lor?
Hackerii folosesc Cobalt Strike din mai multe motive. Este un instrument avansat care le permite să obțină acces la rețele, să lanseze atacuri Distributed Denial-of-Service (DDoS) și să exfiltreze date. De asemenea, are capacitatea de a ocoli măsurile de securitate, cum ar fi firewall-urile și software-ul de securitate. În plus, poate fi folosit pentru a crea încărcături utile dăunătoare care pot fi folosite în campanii de phishing sau alte atacuri cibernetice. În cele din urmă, Cobalt Strike este relativ ușor de utilizat și poate fi desfășurat rapid pentru a efectua un atac.
Există și alte programe malware precum Cobalt Strike?
Da, există și alte amenințări malware care sunt similare cu Cobalt Strike. Unele dintre acestea includ Emotet , Trickbot și Ryuk . Emotet este un troian bancar care este folosit pentru a colecta informații financiare de la victime. Trickbot este un troian bancar modular care poate fi folosit pentru exfiltrarea datelor și atacuri ransomware. Ryuk este o tulpină de ransomware care a fost legată de mai multe atacuri importante asupra organizațiilor din întreaga lume. Toate aceste amenințări au potențialul de a provoca daune semnificative dacă nu sunt abordate în mod corespunzător.
Simptomele unei infectii de la Cobalt Strike
Simptomele unei infecții cu malware-ul Cobalt Strike includ performanță lentă a computerului, ferestre pop-up neașteptate și fișiere sau foldere ciudate care apar pe computer. În plus, utilizatorii pot întâmpina dificultăți în accesarea anumitor site-uri web sau aplicații, precum și în primirea de e-mailuri cu atașamente suspecte. Dacă un utilizator observă oricare dintre aceste simptome, ar trebui să contacteze imediat departamentul IT sau furnizorul de securitate pentru a investiga în continuare.
Cum să detectați și să eliminați infecția cu Cobalt Strike de la o mașină infectată
1. Rulați o scanare completă a sistemului cu software anti-malware actualizat. Acest lucru va detecta și elimina orice fișiere falsificate asociate cu malware-ul Cobalt Strike.
2. Verificați sistemul dumneavoastră pentru orice procese sau servicii suspecte care ar putea rula în fundal. Dacă găsiți vreunul, opriți-le imediat.
3. Ștergeți toate fișierele sau folderele suspecte care au fost create de programul malware Cobalt Strike pe computer.
4. Schimbați-vă toate parolele, în special cele legate de conturile financiare sau alte informații sensibile.
5. Asigurați-vă că sistemul dvs. de operare și aplicațiile sunt actualizate cu cele mai recente corecții de securitate și actualizări de pe site-ul web al producătorului.
6. Luați în considerare utilizarea unui firewall de renume și a unui program anti-malware pentru a vă proteja computerul de amenințări viitoare, cum ar fi programul malware Cobalt Strike.
Cuprins
Raport de analiză
Informatii generale
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Mărime fișier:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Mărime fișier:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
