Cobalto

Descrição do Cobalto

Cobalt é uma infecção por malware que está se espalhando aproveitando uma vulnerabilidade do Microsoft Windows que existe há 17 anos neste sistema operacional. Embora a vulnerabilidade que está sendo usada pelo Cobalt, CVE-2017-11882, exista há 17 anos, ela só foi tornada pública e corrigida pela Microsoft em novembro de 2017. Usando esta vulnerabilidade, os cibercriminosos foram capazes de entregar ameaças usando o Cobalt Strike, uma ferramenta usada para testar vulnerabilidades.

Um segredo de cobalto guardado por muitos anos

O Cobalt é entregue por meio de uma mensagem de e-mail de spam que parece uma notificação da Visa (a operadora do cartão de crédito), supostamente anunciando mudanças nas regras em seu serviço PayWave na Rússia. As vítimas recebem um documento RTF denominado 'Изменения в системе безопасности.doc Visa payWave.doc', bem como um arquivo com o mesmo nome. O envio de ameaças na forma de arquivos compactados em mensagens de e-mail é um método muito comum de entrega. O uso de arquivos protegidos por senha para esses ataques é uma maneira segura de evitar que os sistemas de análise automática analisem o arquivo, pois eles extrairão o arquivo em um ambiente seguro para detectar ameaças. No entanto, existe um aspecto de engenharia social ao incluir o arquivo DOC corrompido e o arquivo na mesma mensagem.

Quando o documento prejudicial usado para fornecer Cobalt é aberto, um script do PowerShell é executado em segundo plano. Este script baixa e instala o Cobalt no computador da vítima, permitindo que os cibercriminosos assumam o controle do computador infectado. Durante o ataque do Cobalt, vários scripts são baixados e executados para baixar e instalar o Cobalt no computador da vítima. Quando a exploração CVE-2017-11882 é acionada no computador infectado, um arquivo JavaScript ofuscado é baixado e executado no computador infectado. Isso baixa outro script do PowerShell, que carrega o Cobalt diretamente na memória do computador infectado. Embora os scripts do PowerShell possam ser uma maneira poderosa de tornar o uso de um computador mais conveniente e eficiente, a maneira como ele interage com o funcionamento interno de um computador e seu poder tornou esses scripts uma das ferramentas preferidas usadas em ataques de ameaças. Como o Cobalt é carregado na memória diretamente e nenhum arquivo DLL corrompido é gravado nos discos rígidos da vítima, isso torna mais difícil para os programas antivírus detectar que o ataque do Cobalt está sendo executado.

Como o ataque de cobalto pode afetar você e sua máquina

Depois que o Cobalt é instalado no computador da vítima, o Cobalt pode ser usado para controlar o computador infectado, bem como para instalar essa ameaça em outros sistemas de computador na mesma rede. Embora oficialmente o Cobalt Strike seja supostamente uma ferramenta para teste de penetração, neste caso, ele está sendo usado para realizar ataques de ameaça. Os cibercriminosos estão sempre procurando novas maneiras de enviar ameaças. Embora as novas vulnerabilidades sejam bastante ameaçadoras, vulnerabilidades muito antigas como esta, que podem não ter sido corrigidas de forma adequada originalmente, também representam uma ameaça para os usuários de computador. Lembre-se de que muitos usuários de computador não conseguem corrigir o software e o sistema operacional regularmente, o que significa que muitos PCs são vulneráveis a muitos exploits bastante antigos e, em alguns casos, serão ignorados por muitos programas antivírus.

Protegendo seu computador de uma ameaça como o cobalto

Como acontece com a maioria das ameaças, o uso de um programa de segurança confiável é a melhor proteção contra o Cobalt e ameaças semelhantes. No entanto, como uma exploração de software antigo está envolvida nesses ataques, os pesquisadores de segurança do PC aconselham os usuários de computador a garantir que seu software e sistema operacional sejam totalmente atualizados com os patches de segurança mais recentes. Isso pode ajudar os usuários de computador a prevenir ameaças e outros problemas, tanto quanto o uso de software de segurança.