Kobolt

Kobolt är en infektion med skadlig kod som sprider sig genom att dra nytta av en sårbarhet i Microsoft Windows som har funnits i 17 år i detta operativsystem. Även om sårbarheten som används av Cobalt, CVE-2017-11882, har funnits i 17 år, offentliggjordes den och lappades av Microsoft i november 2017. Med hjälp av denna sårbarhet kunde cybercrooks leverera hot genom att använda Cobalt Strike, ett verktyg som används för att testa sårbarheter.

En kobolthemlighet som hålls i många år

Kobolt levereras via ett skräppostmeddelande som ser ut som ett meddelande från Visa (kreditkortsföretaget), som förmodligen meddelar regeländringar i sin PayWave-tjänst i Ryssland. Offren får ett RTF-dokument med namnet 'Изменения в системе безопасности.doc Visa payWave.doc' samt en arkivfil med samma namn. Att skicka hot i form av arkivfiler bifogade e-postmeddelanden är en mycket vanlig metod för att leverera dem. Användningen av lösenordsskyddade arkiv för dessa attacker är ett säkert sätt att förhindra att autoanalyssystem analyserar filen eftersom de extraherar filen i en säker miljö för att upptäcka hot. Det finns dock en del av en socialteknisk aspekt genom att inkludera både den skadade DOC-filen och arkivet i samma meddelande.

När det skadliga dokumentet som används för att leverera kobolt öppnas körs ett PowerShell-skript i bakgrunden. Detta skript laddar ner och installerar kobolt på offrets dator, så att cybercrooks kan ta kontroll över den infekterade datorn. Under koboltattacken hämtas och körs flera skript för att så småningom ladda ner och installera kobolt på offrets dator. När utnyttjandet av CVE-2017-11882 utlöses på den infekterade datorn laddas en fördunklad JavaScript-fil ned och körs sedan på den infekterade datorn. Detta hämtar ett annat PowerShell-skript som sedan laddar kobolt till minnet på den infekterade datorn direkt. Medan PowerShell-skript kan vara ett kraftfullt sätt att använda en dator mer bekvämt och effektivt, har sättet det interagerar med datorns inre arbete och deras kraft gjort dessa skript till ett av de föredragna verktygen som används i hotattacker. Eftersom kobolt laddas in i minnet direkt och ingen skadad DLL-fil skrivs på offrets hårddiskar, blir det svårare för antivirusprogram att upptäcka att koboltattacken genomförs.

Hur koboltattacken kan påverka dig och din maskin

När Cobalt har installerats på offrets dator kan Cobalt användas för att kontrollera den infekterade datorn samt för att installera detta hot på andra datorsystem i samma nätverk. Även om officiellt Cobalt Strike förmodligen är ett verktyg för penetrationstestning, används det i det här fallet för att utföra hotattacker. Cybercrooks letar alltid efter nya sätt att leverera hot. Medan nya sårbarheter är ganska hotande, utgör mycket gamla sårbarheter som den här, som kanske inte har åtgärdats ordentligt ursprungligen, också ett hot mot datoranvändare. Kom ihåg att många datoranvändare misslyckas med att korrigera programvaran och operativsystemet regelbundet, vilket innebär att många datorer är sårbara för många exploateringar som är ganska gamla och i vissa fall kommer att förbises av många antivirusprogram.

Skydda din dator från ett hot som kobolt

Som med de flesta hot är användningen av ett pålitligt säkerhetsprogram det bästa skyddet mot kobolt och liknande hot. Eftersom en gammal mjukvaruutnyttjande är involverad i dessa attacker, rekommenderar PC-säkerhetsforskare dock datoranvändare att se till att deras programvara och operativsystem är helt uppdaterade med de senaste säkerhetsuppdateringarna. Detta kan hjälpa datoranvändare att förhindra hot och andra problem lika mycket som att använda säkerhetsprogramvara.