Cobalt Strike
Cuadro de Mando de Amenazas
Cuadro de mando de amenazas EnigmaSoft
EnigmaSoft Threat Scorecards son informes de evaluación de diferentes amenazas de malware que nuestro equipo de investigación ha recopilado y analizado. Los cuadros de mando de amenazas de EnigmaSoft evalúan y clasifican las amenazas utilizando varias métricas que incluyen factores de riesgo reales y potenciales, tendencias, frecuencia, prevalencia y persistencia. Los cuadros de mando de amenazas de EnigmaSoft se actualizan regularmente en función de nuestros datos y métricas de investigación y son útiles para una amplia gama de usuarios de computadoras, desde usuarios finales que buscan soluciones para eliminar malware de sus sistemas hasta expertos en seguridad que analizan amenazas.
EnigmaSoft Threat Scorecards muestra una variedad de información útil, que incluye:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nivel de severidad: El nivel de severidad determinado de un objeto, representado numéricamente, basado en nuestro proceso de modelado de riesgo e investigación, como se explica en nuestros Criterios de evaluación de amenazas .
Computadoras infectadas: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
Consulte también Criterios de evaluación de amenazas .
| Popularity Rank: | 12,709 |
| Nivel de amenaza: | 80 % (Elevado) |
| Computadoras infectadas: | 100 |
| Visto por primera vez: | October 29, 2021 |
| Ultima vez visto: | January 15, 2026 |
| SO(s) afectados: | Windows |
El malware Cobalt Strike es un software amenazante que se usa para atacar instituciones financieras y otras organizaciones y puede infectar computadoras que usan sistemas Windows, Linux y Mac OS X. Se descubrió por primera vez en 2012 y se cree que es obra de un grupo de ciberdelincuencia de habla rusa conocido como Cobalt Group. El malware está diseñado para recolectar dinero de bancos, cajeros automáticos y otras instituciones financieras mediante la explotación de vulnerabilidades en sus sistemas. Se ha relacionado con varios ataques de alto perfil, incluido uno en el Banco de Bangladesh en 2016 que resultó en el robo de $ 81 millones. El Cobalt Strike también se puede usar para la exfiltración de datos, ataques de ransomware y ataques de denegación de servicio distribuido (DDoS).
Cómo se infecta una computadora con el malware Cobalt Strike
El malware Cobalt Strike generalmente se propaga a través de correos electrónicos o sitios web corruptos. Los correos electrónicos pueden contener enlaces a sitios web no seguros, que luego pueden descargar Cobalt Strike en una computadora. Además, Cobalt Strike se puede propagar a través de descargas ocultas, donde un usuario desprevenido visita un sitio web que ha sido infectado con la amenaza. Una vez instalado en una computadora, Cobalt Strike se puede usar para recopilar datos y dinero de instituciones financieras.
¿Por qué a los hackers les gusta usar el golpe de Cobalt Strike?
Los piratas informáticos usan Cobalt Strike por una variedad de razones. Es una herramienta avanzada que les permite obtener acceso a las redes, lanzar ataques de denegación de servicio distribuido (DDoS) y filtrar datos. También tiene la capacidad de eludir medidas de seguridad como firewalls y software de seguridad. Además, se puede usar para crear cargas dañinas que se pueden usar en campañas de phishing u otros ataques cibernéticos. Finalmente, Cobalt Strike es relativamente fácil de usar y puede implementarse rápidamente para llevar a cabo un ataque.
¿Hay otro malware como Cobalt Strike?
Sí, existen otras amenazas de malware que son similares a Cobalt Strike. Algunos de estos incluyen Emotet , Trickbot y Ryuk . Emotet es un troyano bancario que se utiliza para recopilar información financiera de las víctimas. Trickbot es un troyano bancario modular que se puede utilizar para exfiltración de datos y ataques de ransomware. Ryuk es una cepa de ransomware que se ha relacionado con varios ataques de alto perfil contra organizaciones de todo el mundo. Todas estas amenazas tienen el potencial de causar un daño significativo si no se abordan adecuadamente.
Síntomas de una infección por el Cobalt Strike
Los síntomas de una infección por el malware Cobalt Strike incluyen un rendimiento lento de la computadora, ventanas emergentes inesperadas y archivos o carpetas extraños que aparecen en la computadora. Además, los usuarios pueden experimentar dificultades para acceder a ciertos sitios web o aplicaciones, así como recibir correos electrónicos con archivos adjuntos sospechosos. Si un usuario nota alguno de estos síntomas, debe comunicarse de inmediato con su departamento de TI o proveedor de seguridad para investigar más a fondo.
Cómo detectar y eliminar la infección de Cobalt Strike de una máquina infectada
1. Ejecute un análisis completo del sistema con software antimalware actualizado. Esto detectará y eliminará cualquier archivo manipulado asociado con el malware Cobalt Strike.
2. Verifique su sistema en busca de procesos o servicios sospechosos que puedan estar ejecutándose en segundo plano. Si encuentra alguno, termínelo inmediatamente.
3. Elimine todos los archivos o carpetas sospechosos que haya creado el malware Cobalt Strike en su computadora.
4. Cambie todas sus contraseñas, especialmente las relacionadas con cuentas financieras u otra información confidencial.
5. Asegúrese de que su sistema operativo y sus aplicaciones estén actualizados con los últimos parches de seguridad y actualizaciones del sitio web del fabricante.
6. Considere la posibilidad de utilizar un cortafuegos y un programa antimalware de buena reputación para proteger su equipo de amenazas futuras como el malware Cobalt Strike.
Tabla de contenido
Reporte de análisis
Información general
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
Tamaño del archivo:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
Tamaño del archivo:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
