Cobalto
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Classificação: | 4,110 |
| Nível da Ameaça: | 20 % (Normal) |
| Computadores infectados: | 2,252 |
| Visto pela Primeira Vez: | May 5, 2022 |
| Visto pela Última Vez: | September 20, 2023 |
| SO (s) Afetados: | Windows |
Cobalt é uma infecção por malware que está se espalhando aproveitando uma vulnerabilidade do Microsoft Windows que existe há 17 anos neste sistema operacional. Embora a vulnerabilidade que está sendo usada pelo Cobalt, CVE-2017-11882, exista há 17 anos, ela só foi tornada pública e corrigida pela Microsoft em novembro de 2017. Usando esta vulnerabilidade, os cibercriminosos foram capazes de entregar ameaças usando o Cobalt Strike, uma ferramenta usada para testar vulnerabilidades.
Índice
Um segredo de cobalto guardado por muitos anos
O Cobalt é entregue por meio de uma mensagem de e-mail de spam que parece uma notificação da Visa (a operadora do cartão de crédito), supostamente anunciando mudanças nas regras em seu serviço PayWave na Rússia. As vítimas recebem um documento RTF denominado 'Изменения в системе безопасности.doc Visa payWave.doc', bem como um arquivo com o mesmo nome. O envio de ameaças na forma de arquivos compactados em mensagens de e-mail é um método muito comum de entrega. O uso de arquivos protegidos por senha para esses ataques é uma maneira segura de evitar que os sistemas de análise automática analisem o arquivo, pois eles extrairão o arquivo em um ambiente seguro para detectar ameaças. No entanto, existe um aspecto de engenharia social ao incluir o arquivo DOC corrompido e o arquivo na mesma mensagem.
Quando o documento prejudicial usado para fornecer Cobalt é aberto, um script do PowerShell é executado em segundo plano. Este script baixa e instala o Cobalt no computador da vítima, permitindo que os cibercriminosos assumam o controle do computador infectado. Durante o ataque do Cobalt, vários scripts são baixados e executados para baixar e instalar o Cobalt no computador da vítima. Quando a exploração CVE-2017-11882 é acionada no computador infectado, um arquivo JavaScript ofuscado é baixado e executado no computador infectado. Isso baixa outro script do PowerShell, que carrega o Cobalt diretamente na memória do computador infectado. Embora os scripts do PowerShell possam ser uma maneira poderosa de tornar o uso de um computador mais conveniente e eficiente, a maneira como ele interage com o funcionamento interno de um computador e seu poder tornou esses scripts uma das ferramentas preferidas usadas em ataques de ameaças. Como o Cobalt é carregado na memória diretamente e nenhum arquivo DLL corrompido é gravado nos discos rígidos da vítima, isso torna mais difícil para os programas antivírus detectar que o ataque do Cobalt está sendo executado.
Como o ataque de cobalto pode afetar você e sua máquina
Depois que o Cobalt é instalado no computador da vítima, o Cobalt pode ser usado para controlar o computador infectado, bem como para instalar essa ameaça em outros sistemas de computador na mesma rede. Embora oficialmente o Cobalt Strike seja supostamente uma ferramenta para teste de penetração, neste caso, ele está sendo usado para realizar ataques de ameaça. Os cibercriminosos estão sempre procurando novas maneiras de enviar ameaças. Embora as novas vulnerabilidades sejam bastante ameaçadoras, vulnerabilidades muito antigas como esta, que podem não ter sido corrigidas de forma adequada originalmente, também representam uma ameaça para os usuários de computador. Lembre-se de que muitos usuários de computador não conseguem corrigir o software e o sistema operacional regularmente, o que significa que muitos PCs são vulneráveis a muitos exploits bastante antigos e, em alguns casos, serão ignorados por muitos programas antivírus.
Protegendo seu computador de uma ameaça como o cobalto
Como acontece com a maioria das ameaças, o uso de um programa de segurança confiável é a melhor proteção contra o Cobalt e ameaças semelhantes. No entanto, como uma exploração de software antigo está envolvida nesses ataques, os pesquisadores de segurança do PC aconselham os usuários de computador a garantir que seu software e sistema operacional sejam totalmente atualizados com os patches de segurança mais recentes. Isso pode ajudar os usuários de computador a prevenir ameaças e outros problemas, tanto quanto o uso de software de segurança.
URLs
Cobalto pode chamar os seguintes URLs:
| betaengine.org |
