Cobalt
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
Classement: | 4,110 |
Niveau de menace: | 20 % (Normal) |
Ordinateurs infectés : | 2,252 |
Vu la première fois: | May 5, 2022 |
Vu pour la dernière fois : | September 20, 2023 |
Systèmes d'exploitation concernés: | Windows |
Cobalt est une infection malveillante qui se propage en tirant parti d'une vulnérabilité de Microsoft Windows qui existe depuis 17 ans dans ce système d'exploitation. Bien que la vulnérabilité utilisée par Cobalt, CVE-2017-11882, existe depuis 17 ans, elle n'a été rendue publique et corrigée par Microsoft qu'en novembre 2017. Grâce à cette vulnérabilité, les cyber-escrocs ont pu lancer des menaces en utilisant le Cobalt. Strike, un outil utilisé pour tester les vulnérabilités.
Table des matières
Un secret de cobalt gardé pendant de nombreuses années
Cobalt est livré via un message de spam qui ressemble à une notification de Visa (la société de carte de crédit), annonçant soi-disant des changements de règles dans son service PayWave en Russie. Les victimes reçoivent un document RTF nommé « Изменения в системе безопасности.doc Visa payWave.doc », ainsi qu'un fichier d'archive portant le même nom. L'envoi de menaces sous la forme de fichiers d'archives joints aux messages électroniques est une méthode très courante pour les transmettre. L'utilisation d'archives protégées par mot de passe pour ces attaques est un moyen sûr d'empêcher les systèmes d'analyse automatique d'analyser le fichier car ils extrairont le fichier dans un environnement sûr pour détecter les menaces. Cependant, il y a en quelque sorte un aspect d'ingénierie sociale en incluant à la fois le fichier DOC corrompu et l'archive dans le même message.
Lorsque le document nuisible utilisé pour livrer Cobalt est ouvert, un script PowerShell s'exécute en arrière-plan. Ce script télécharge et installe Cobalt sur l'ordinateur de la victime, permettant aux cyber-escrocs de prendre le contrôle de l'ordinateur infecté. Au cours de l'attaque Cobalt, plusieurs scripts sont téléchargés et exécutés pour télécharger et installer éventuellement Cobalt sur l'ordinateur de la victime. Lorsque l'exploit CVE-2017-11882 est déclenché sur l'ordinateur infecté, un fichier JavaScript obscurci est téléchargé puis exécuté sur l'ordinateur infecté. Cela télécharge un autre script PowerShell, qui charge ensuite directement Cobalt dans la mémoire de l'ordinateur infecté. Alors que les scripts PowerShell peuvent être un moyen puissant de rendre l'utilisation d'un ordinateur plus pratique et efficace, la façon dont il interagit avec le fonctionnement interne d'un ordinateur et leur puissance ont fait de ces scripts l'un des outils préférés utilisés dans les attaques de menaces. Étant donné que le cobalt est chargé directement dans la mémoire et qu'aucun fichier DLL corrompu n'est écrit sur les disques durs de la victime, cela rend plus difficile pour les programmes antivirus de détecter que l'attaque au cobalt est en cours.
Comment l’attaque au cobalt peut vous affecter, vous et votre machine
Une fois Cobalt installé sur l'ordinateur de la victime, Cobalt peut être utilisé pour contrôler l'ordinateur infecté, ainsi que pour installer cette menace sur d'autres systèmes informatiques sur le même réseau. Bien qu'officiellement Cobalt Strike soit censé être un outil de test de pénétration, dans ce cas, il est utilisé pour mener des attaques de menace. Les cyber-escrocs sont toujours à la recherche de nouveaux moyens de diffuser des menaces. Alors que les nouvelles vulnérabilités sont assez menaçantes, de très anciennes vulnérabilités comme celle-ci, qui n'ont peut-être pas été correctement traitées à l'origine, constituent également une menace pour les utilisateurs d'ordinateurs. N'oubliez pas que de nombreux utilisateurs d'ordinateurs ne corrigent pas régulièrement leurs logiciels et leur système d'exploitation, ce qui signifie que de nombreux PC sont vulnérables à de nombreux exploits qui sont assez anciens et, dans certains cas, seront ignorés par de nombreux programmes antivirus.
Protéger votre ordinateur contre une menace comme le cobalt
Comme pour la plupart des menaces, l'utilisation d'un programme de sécurité fiable est la meilleure protection contre le cobalt et les menaces similaires. Cependant, étant donné qu'un ancien exploit logiciel est impliqué dans ces attaques, les chercheurs en sécurité PC conseillent aux utilisateurs d'ordinateurs de s'assurer que leur logiciel et leur système d'exploitation sont entièrement mis à jour avec les correctifs de sécurité les plus récents. Cela peut aider les utilisateurs d'ordinateurs à prévenir les menaces et autres problèmes autant que l'utilisation d'un logiciel de sécurité.
URL
Cobalt peut appeler les URL suivantes :
betaengine.org |