Cobalt Strike
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Popularity Rank: | 12,709 |
| Niveau de menace: | 80 % (Haute) |
| Ordinateurs infectés : | 100 |
| Vu la première fois: | October 29, 2021 |
| Vu pour la dernière fois : | January 15, 2026 |
| Systèmes d'exploitation concernés: | Windows |
Le malware Cobalt Strike est un logiciel menaçant qui est utilisé pour cibler les institutions financières et d'autres organisations et peut infecter les ordinateurs utilisant les systèmes Windows, Linux et Mac OS X. Il a été découvert pour la première fois en 2012 et serait l'œuvre d'un groupe de cybercriminalité russophone connu sous le nom de Cobalt Group. Le logiciel malveillant est conçu pour collecter de l'argent auprès des banques, des distributeurs automatiques de billets et d'autres institutions financières en exploitant les vulnérabilités de leurs systèmes. Il a été lié à plusieurs attaques très médiatisées, dont une contre la Banque du Bangladesh en 2016 qui a entraîné le vol de 81 millions de dollars. Le Cobalt Strike peut également être utilisé pour l'exfiltration de données, les attaques de ransomware et les attaques par déni de service distribué (DDoS).
Comment un ordinateur est infecté par le logiciel malveillant Cobalt Strike
Le malware Cobalt Strike se propage généralement via des e-mails ou des sites Web corrompus. Les e-mails peuvent contenir des liens vers des sites Web dangereux, qui peuvent ensuite télécharger Cobalt Strike sur un ordinateur. De plus, Cobalt Strike peut se propager par le biais de téléchargements en voiture, lorsqu'un utilisateur sans méfiance visite un site Web qui a été infecté par la menace. Une fois installé sur un ordinateur, le Cobalt Strike peut ensuite être utilisé pour collecter des données et de l'argent auprès d'institutions financières.
Pourquoi les hackers aiment-ils utiliser le Cobalt Strike dans leurs attaques ?
Les pirates utilisent Cobalt Strike pour diverses raisons. Il s'agit d'un outil avancé qui leur permet d'accéder aux réseaux, de lancer des attaques par déni de service distribué (DDoS) et d'exfiltrer des données. Il a également la capacité de contourner les mesures de sécurité telles que les pare-feu et les logiciels de sécurité. De plus, il peut être utilisé pour créer des charges utiles nuisibles qui peuvent être utilisées dans des campagnes de phishing ou d'autres cyberattaques. Enfin, Cobalt Strike est relativement facile à utiliser et peut être rapidement déployé pour mener une attaque.
Existe-t-il d'autres logiciels malveillants comme Cobalt Strike ?
Oui, il existe d'autres menaces de logiciels malveillants similaires à Cobalt Strike. Certains d'entre eux incluent Emotet , Trickbot et Ryuk . Emotet est un cheval de Troie bancaire utilisé pour collecter des informations financières auprès des victimes. Trickbot est un cheval de Troie bancaire modulaire qui peut être utilisé pour l'exfiltration de données et les attaques de ransomware. Ryuk est une souche de ransomware qui a été liée à plusieurs attaques très médiatisées contre des organisations du monde entier. Toutes ces menaces ont le potentiel de causer des dommages importants si elles ne sont pas correctement traitées.
Symptômes d'une infection par la grève du cobalt
Les symptômes d'une infection par le logiciel malveillant Cobalt Strike incluent des performances informatiques lentes, des fenêtres contextuelles inattendues et des fichiers ou dossiers étranges apparaissant sur l'ordinateur. De plus, les utilisateurs peuvent avoir des difficultés à accéder à certains sites Web ou applications, ainsi qu'à recevoir des e-mails contenant des pièces jointes suspectes. Si un utilisateur remarque l'un de ces symptômes, il doit immédiatement contacter son service informatique ou son fournisseur de sécurité pour enquêter plus avant.
Comment détecter et supprimer l'infection Cobalt Strike d'une machine infectée
1. Exécutez une analyse complète du système avec un logiciel anti-malware mis à jour. Cela détectera et supprimera tous les fichiers falsifiés associés au logiciel malveillant Cobalt Strike.
2. Vérifiez votre système pour détecter tout processus ou service suspect pouvant s'exécuter en arrière-plan. Si vous en trouvez, résiliez-les immédiatement.
3. Supprimez tous les fichiers ou dossiers suspects qui ont été créés par le logiciel malveillant Cobalt Strike sur votre ordinateur.
4. Modifiez tous vos mots de passe, en particulier ceux liés aux comptes financiers ou à d'autres informations sensibles.
5. Assurez-vous que votre système d'exploitation et vos applications sont à jour avec les derniers correctifs de sécurité et mises à jour du site Web du fabricant.
6. Envisagez d'utiliser un pare-feu et un programme anti-malware réputés pour protéger votre ordinateur contre les menaces futures telles que le malware Cobalt Strike.
Table des matières
Bulletin d'analyse
Informations générales
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Taille du fichier:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Taille du fichier:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
