Cobalto

Cobalto Descripción

Cobalt es una infección de malware que se propaga aprovechando una vulnerabilidad en Microsoft Windows que existe desde hace 17 años en este sistema operativo. Aunque la vulnerabilidad que está siendo utilizada por Cobalt, CVE-2017-11882, existe desde hace 17 años, solo se hizo pública y Microsoft la corrigió en noviembre de 2017. Usando esta vulnerabilidad, los ciberdelincuentes pudieron entregar amenazas usando Cobalt Strike, una herramienta utilizada para probar vulnerabilidades.

Un secreto de cobalto guardado durante muchos años

Cobalt se envía a través de un mensaje de correo electrónico no deseado que parece una notificación de Visa (la compañía de tarjetas de crédito), supuestamente anunciando cambios en las reglas de su servicio PayWave en Rusia. Las víctimas reciben un documento RTF llamado 'Изменения в системе безопасности.doc Visa payWave.doc', así como un archivo con el mismo nombre. Enviar amenazas en forma de archivos adjuntos a mensajes de correo electrónico es un método muy común para enviarlas. El uso de archivos protegidos con contraseña para estos ataques es una forma segura de evitar que los sistemas de análisis automático analicen el archivo, ya que lo extraerán en un entorno seguro para detectar amenazas. Sin embargo, hay un aspecto de ingeniería social al incluir tanto el archivo DOC dañado como el archivo en el mismo mensaje.

Cuando se abre el documento dañino que se utiliza para entregar Cobalt, se ejecuta un script de PowerShell en segundo plano. Este script descarga e instala Cobalt en la computadora de la víctima, lo que permite a los ciberdelincuentes tomar el control de la computadora infectada. Durante el ataque de Cobalt, se descargan y ejecutan varios scripts para descargar e instalar Cobalt en la computadora de la víctima eventualmente. Cuando se activa el exploit CVE-2017-11882 en la computadora infectada, se descarga un archivo JavaScript ofuscado y luego se ejecuta en la computadora infectada. Esto descarga otro script de PowerShell, que luego carga Cobalt en la memoria de la computadora infectada directamente. Si bien las secuencias de comandos de PowerShell pueden ser una forma poderosa de hacer que el uso de una computadora sea más conveniente y eficiente, la forma en que interactúa con el funcionamiento interno de una computadora y su poder ha convertido a estas secuencias de comandos en una de las herramientas preferidas utilizadas en los ataques de amenazas. Dado que Cobalt se carga directamente en la memoria y no se escribe ningún archivo DLL dañado en los discos duros de la víctima, esto dificulta que los programas antivirus detecten que se está llevando a cabo el ataque Cobalt.

Cómo el ataque de cobalto puede afectarle a usted y a su máquina

Una vez que Cobalt está instalado en la computadora de la víctima, Cobalt se puede usar para controlar la computadora infectada, así como para instalar esta amenaza en otros sistemas informáticos en la misma red. Aunque oficialmente Cobalt Strike es supuestamente una herramienta para pruebas de penetración, en este caso se está utilizando para llevar a cabo ataques de amenazas. Los ciberdelincuentes siempre buscan nuevas formas de generar amenazas. Si bien las nuevas vulnerabilidades son bastante amenazantes, las vulnerabilidades muy antiguas como esta, que pueden no haberse abordado correctamente originalmente, también representan una amenaza para los usuarios de computadoras. Recuerde que muchos usuarios de computadoras no parchean su software y sistema operativo con regularidad, lo que significa que muchas PC son vulnerables a muchas vulnerabilidades que son bastante antiguas y, en algunos casos, muchos programas antivirus las pasarán por alto.

Protección de su computadora de una amenaza como el cobalto

Como ocurre con la mayoría de las amenazas, el uso de un programa de seguridad confiable es la mejor protección contra Cobalt y amenazas similares. Sin embargo, dado que en estos ataques está involucrado un antiguo exploit de software, los investigadores de seguridad de PC aconsejan a los usuarios de computadoras que se aseguren de que su software y sistema operativo estén completamente actualizados con los parches de seguridad más recientes. Esto puede ayudar a los usuarios de computadoras a prevenir amenazas y otros problemas tanto como a usar software de seguridad.