Cobalto
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
| Classifica: | 4,110 |
| Livello di minaccia: | 20 % (Normale) |
| Computer infetti: | 2,252 |
| Visto per la prima volta: | May 5, 2022 |
| Ultima visualizzazione: | September 20, 2023 |
| Sistemi operativi interessati: | Windows |
Cobalt è un'infezione malware che si sta diffondendo sfruttando una vulnerabilità di Microsoft Windows che esiste da 17 anni in questo sistema operativo. Sebbene la vulnerabilità utilizzata da Cobalt, CVE-2017-11882, esista da 17 anni, è stata resa pubblica e corretta da Microsoft solo nel novembre 2017. Utilizzando questa vulnerabilità, i cybercriminali sono stati in grado di fornire minacce utilizzando Cobalt Strike, uno strumento utilizzato per testare le vulnerabilità.
Sommario
Un segreto del cobalto mantenuto per molti anni
Cobalt viene consegnato tramite un messaggio e-mail di spam che sembra una notifica da Visa (la società della carta di credito), che presumibilmente annuncia modifiche alle regole nel suo servizio PayWave in Russia. Le vittime ricevono un documento RTF denominato "Изменения в системе безопасности.doc Visa payWave.doc", nonché un file di archivio con lo stesso nome. L'invio di minacce sotto forma di file di archivio allegati ai messaggi di posta elettronica è un metodo molto comune per consegnarle. L'uso di archivi protetti da password per questi attacchi è un modo sicuro per impedire ai sistemi di autoanalisi di analizzare il file poiché estrarranno il file in un ambiente sicuro per rilevare le minacce. Tuttavia, c'è un aspetto di ingegneria sociale includendo sia il file DOC corrotto che l'archivio nello stesso messaggio.
Quando viene aperto il documento dannoso utilizzato per fornire Cobalt, viene eseguito uno script PowerShell in background. Questo script scarica e installa Cobalt sul computer della vittima, consentendo ai criminali informatici di assumere il controllo del computer infetto. Durante l'attacco Cobalt, vengono scaricati ed eseguiti diversi script per scaricare e installare Cobalt sul computer della vittima. Quando l'exploit CVE-2017-11882 viene attivato sul computer infetto, un file JavaScript offuscato viene scaricato e quindi eseguito sul computer infetto. Questo scarica un altro script PowerShell, che quindi carica direttamente Cobalt nella memoria del computer infetto. Sebbene gli script PowerShell possano essere un modo potente per rendere l'utilizzo di un computer più comodo ed efficiente, il modo in cui interagisce con il funzionamento interno di un computer e la loro potenza ha reso questi script uno degli strumenti preferiti utilizzati negli attacchi di minaccia. Poiché Cobalt viene caricato direttamente nella memoria e nessun file DLL danneggiato viene scritto sui dischi rigidi della vittima, questo rende più difficile per i programmi antivirus rilevare che l'attacco Cobalt è in corso.
Come l’attacco al cobalto può influenzare te e la tua macchina
Una volta installato Cobalt sul computer della vittima, Cobalt può essere utilizzato per controllare il computer infetto, nonché per installare questa minaccia su altri sistemi informatici sulla stessa rete. Sebbene ufficialmente Cobalt Strike sia presumibilmente uno strumento per i test di penetrazione, in questo caso viene utilizzato per eseguire attacchi di minaccia. I criminali informatici sono sempre alla ricerca di nuovi modi per fornire minacce. Mentre le nuove vulnerabilità sono piuttosto minacciose, vulnerabilità molto vecchie come questa, che potrebbero non essere state affrontate correttamente in origine, rappresentano anche una minaccia per gli utenti di computer. Ricorda che molti utenti di computer non riescono a correggere regolarmente il software e il sistema operativo, il che significa che molti PC sono vulnerabili a molti exploit piuttosto vecchi e, in alcuni casi, verranno trascurati da molti programmi antivirus.
Protezione del computer da una minaccia come il cobalto
Come per la maggior parte delle minacce, l'uso di un programma di sicurezza affidabile è la migliore protezione contro Cobalt e minacce simili. Tuttavia, poiché in questi attacchi è coinvolto un vecchio exploit software, i ricercatori sulla sicurezza del PC consigliano agli utenti di computer di assicurarsi che il software e il sistema operativo siano completamente aggiornati con le patch di sicurezza più recenti. Questo può aiutare gli utenti di computer a prevenire minacce e altri problemi tanto quanto l'utilizzo di software di sicurezza.
URL
Cobalto può chiamare i seguenti URL:
| betaengine.org |
