Cobalto

Cobalto Descrizione

Cobalt è un'infezione malware che si sta diffondendo sfruttando una vulnerabilità di Microsoft Windows che esiste da 17 anni in questo sistema operativo. Sebbene la vulnerabilità utilizzata da Cobalt, CVE-2017-11882, esista da 17 anni, è stata resa pubblica e corretta da Microsoft solo nel novembre 2017. Utilizzando questa vulnerabilità, i cybercriminali sono stati in grado di fornire minacce utilizzando Cobalt Strike, uno strumento utilizzato per testare le vulnerabilità.

Un segreto del cobalto mantenuto per molti anni

Cobalt viene consegnato tramite un messaggio e-mail di spam che sembra una notifica da Visa (la società della carta di credito), che presumibilmente annuncia modifiche alle regole nel suo servizio PayWave in Russia. Le vittime ricevono un documento RTF denominato "Изменения в системе безопасности.doc Visa payWave.doc", nonché un file di archivio con lo stesso nome. L'invio di minacce sotto forma di file di archivio allegati ai messaggi di posta elettronica è un metodo molto comune per consegnarle. L'uso di archivi protetti da password per questi attacchi è un modo sicuro per impedire ai sistemi di autoanalisi di analizzare il file poiché estrarranno il file in un ambiente sicuro per rilevare le minacce. Tuttavia, c'è un aspetto di ingegneria sociale includendo sia il file DOC corrotto che l'archivio nello stesso messaggio.

Quando viene aperto il documento dannoso utilizzato per fornire Cobalt, viene eseguito uno script PowerShell in background. Questo script scarica e installa Cobalt sul computer della vittima, consentendo ai criminali informatici di assumere il controllo del computer infetto. Durante l'attacco Cobalt, vengono scaricati ed eseguiti diversi script per scaricare e installare Cobalt sul computer della vittima. Quando l'exploit CVE-2017-11882 viene attivato sul computer infetto, un file JavaScript offuscato viene scaricato e quindi eseguito sul computer infetto. Questo scarica un altro script PowerShell, che quindi carica direttamente Cobalt nella memoria del computer infetto. Sebbene gli script PowerShell possano essere un modo potente per rendere l'utilizzo di un computer più comodo ed efficiente, il modo in cui interagisce con il funzionamento interno di un computer e la loro potenza ha reso questi script uno degli strumenti preferiti utilizzati negli attacchi di minaccia. Poiché Cobalt viene caricato direttamente nella memoria e nessun file DLL danneggiato viene scritto sui dischi rigidi della vittima, questo rende più difficile per i programmi antivirus rilevare che l'attacco Cobalt è in corso.

Come l'attacco al cobalto può influenzare te e la tua macchina

Una volta installato Cobalt sul computer della vittima, Cobalt può essere utilizzato per controllare il computer infetto, nonché per installare questa minaccia su altri sistemi informatici sulla stessa rete. Sebbene ufficialmente Cobalt Strike sia presumibilmente uno strumento per i test di penetrazione, in questo caso viene utilizzato per eseguire attacchi di minaccia. I criminali informatici sono sempre alla ricerca di nuovi modi per fornire minacce. Mentre le nuove vulnerabilità sono piuttosto minacciose, vulnerabilità molto vecchie come questa, che potrebbero non essere state affrontate correttamente in origine, rappresentano anche una minaccia per gli utenti di computer. Ricorda che molti utenti di computer non riescono a correggere regolarmente il software e il sistema operativo, il che significa che molti PC sono vulnerabili a molti exploit piuttosto vecchi e, in alcuni casi, verranno trascurati da molti programmi antivirus.

Protezione del computer da una minaccia come il cobalto

Come per la maggior parte delle minacce, l'uso di un programma di sicurezza affidabile è la migliore protezione contro Cobalt e minacce simili. Tuttavia, poiché in questi attacchi è coinvolto un vecchio exploit software, i ricercatori sulla sicurezza del PC consigliano agli utenti di computer di assicurarsi che il software e il sistema operativo siano completamente aggiornati con le patch di sicurezza più recenti. Questo può aiutare gli utenti di computer a prevenire minacce e altri problemi tanto quanto l'utilizzo di software di sicurezza.