Cobalt

Cobalt est une infection malveillante qui se propage en tirant parti d'une vulnérabilité de Microsoft Windows qui existe depuis 17 ans dans ce système d'exploitation. Bien que la vulnérabilité utilisée par Cobalt, CVE-2017-11882, existe depuis 17 ans, elle n'a été rendue publique et corrigée par Microsoft qu'en novembre 2017. Grâce à cette vulnérabilité, les cyber-escrocs ont pu lancer des menaces en utilisant le Cobalt. Strike, un outil utilisé pour tester les vulnérabilités.

Un secret de cobalt gardé pendant de nombreuses années

Cobalt est livré via un message de spam qui ressemble à une notification de Visa (la société de carte de crédit), annonçant soi-disant des changements de règles dans son service PayWave en Russie. Les victimes reçoivent un document RTF nommé « Изменения в системе безопасности.doc Visa payWave.doc », ainsi qu'un fichier d'archive portant le même nom. L'envoi de menaces sous la forme de fichiers d'archives joints aux messages électroniques est une méthode très courante pour les transmettre. L'utilisation d'archives protégées par mot de passe pour ces attaques est un moyen sûr d'empêcher les systèmes d'analyse automatique d'analyser le fichier car ils extrairont le fichier dans un environnement sûr pour détecter les menaces. Cependant, il y a en quelque sorte un aspect d'ingénierie sociale en incluant à la fois le fichier DOC corrompu et l'archive dans le même message.

Lorsque le document nuisible utilisé pour livrer Cobalt est ouvert, un script PowerShell s'exécute en arrière-plan. Ce script télécharge et installe Cobalt sur l'ordinateur de la victime, permettant aux cyber-escrocs de prendre le contrôle de l'ordinateur infecté. Au cours de l'attaque Cobalt, plusieurs scripts sont téléchargés et exécutés pour télécharger et installer éventuellement Cobalt sur l'ordinateur de la victime. Lorsque l'exploit CVE-2017-11882 est déclenché sur l'ordinateur infecté, un fichier JavaScript obscurci est téléchargé puis exécuté sur l'ordinateur infecté. Cela télécharge un autre script PowerShell, qui charge ensuite directement Cobalt dans la mémoire de l'ordinateur infecté. Alors que les scripts PowerShell peuvent être un moyen puissant de rendre l'utilisation d'un ordinateur plus pratique et efficace, la façon dont il interagit avec le fonctionnement interne d'un ordinateur et leur puissance ont fait de ces scripts l'un des outils préférés utilisés dans les attaques de menaces. Étant donné que le cobalt est chargé directement dans la mémoire et qu'aucun fichier DLL corrompu n'est écrit sur les disques durs de la victime, cela rend plus difficile pour les programmes antivirus de détecter que l'attaque au cobalt est en cours.

Comment l’attaque au cobalt peut vous affecter, vous et votre machine

Une fois Cobalt installé sur l'ordinateur de la victime, Cobalt peut être utilisé pour contrôler l'ordinateur infecté, ainsi que pour installer cette menace sur d'autres systèmes informatiques sur le même réseau. Bien qu'officiellement Cobalt Strike soit censé être un outil de test de pénétration, dans ce cas, il est utilisé pour mener des attaques de menace. Les cyber-escrocs sont toujours à la recherche de nouveaux moyens de diffuser des menaces. Alors que les nouvelles vulnérabilités sont assez menaçantes, de très anciennes vulnérabilités comme celle-ci, qui n'ont peut-être pas été correctement traitées à l'origine, constituent également une menace pour les utilisateurs d'ordinateurs. N'oubliez pas que de nombreux utilisateurs d'ordinateurs ne corrigent pas régulièrement leurs logiciels et leur système d'exploitation, ce qui signifie que de nombreux PC sont vulnérables à de nombreux exploits qui sont assez anciens et, dans certains cas, seront ignorés par de nombreux programmes antivirus.

Protéger votre ordinateur contre une menace comme le cobalt

Comme pour la plupart des menaces, l'utilisation d'un programme de sécurité fiable est la meilleure protection contre le cobalt et les menaces similaires. Cependant, étant donné qu'un ancien exploit logiciel est impliqué dans ces attaques, les chercheurs en sécurité PC conseillent aux utilisateurs d'ordinateurs de s'assurer que leur logiciel et leur système d'exploitation sont entièrement mis à jour avec les correctifs de sécurité les plus récents. Cela peut aider les utilisateurs d'ordinateurs à prévenir les menaces et autres problèmes autant que l'utilisation d'un logiciel de sécurité.