Cobalt Malware: Η Fortiguard Lab’s Kadena Threat Intelligence System (KTIS) ανακάλυψε ένα spam campaign το οποίο χρησιμοποιούσε το κενό ασφαλείας CVE-2017-11882 το οποίο είναι γνωστό εδώ και περίπου 2 δεκαετίες αλλά διορθώθηκε από την Microsoft τον Νοέμβριο 2017.
Oι threat actors, όπως λέγονται, εκμεταλλεύτηκαν το κενό αυτό και χρησιμοποιώντας το penetration tool Cobalt Strike μπόρεσαν να μεταδώσουν τον Cobalt malware. Οι threat actors ελέγχουν για ευπάθειες -κυρίως παλαιές- οι οποίες δεν είναι πολύ κρίσιμες ή έχουν “ξεχαστεί” προκειμένου να ξεκινήσουν μια malware καμπάνια. Σε όλα αυτά, βέβαια, υπάρχει και η ευθύνη του χρήστη καθώς πολλοί είναι εκείνοι που δεν κάνουν αναβάθμιση το λειτουργικό και τις εφαρμογές τους σε εκδόσεις που διορθώνουν τυχόν ευπάθειες.
Η διαδικασία εξάπλωση είναι η εξής:
Φτάνει ένα email στους χρήστες με θέμα ΅Αλλαγή πολιτικής ασφαλείας της Visa κάρτας” ή κάτι παρεμφερές. Το επισυναπτόμενο αρχείο είναι συμπιεσμένο και προστατευόμενο από κωδικό καθώς αυτό μπλοκάρει τα αυτοματοποιημένα συστήματα ελέγχου malware από το να αποσυμπιέσουν το αρχείο και να το διαγράψουν.
Τo Powershell script που βρίσκεται στο αρχείο ξεκινάει να τρέχει στον υπολογιστή του χρήστη χωρίς να να γίνει αντιληπτό εφόσον διαθέτει μηχανισμούς που αποφεύγουν antivirus, τα λεγόμενα anti-detection beacons, και δίνει στους επιτιθέμενους πλήρη έλεγχο του συστήματος.
Αξίζει να σημειώσουμε ότι οι επιτιθέμενοι μπορούν να φορτώσουν το Cobalt Strike και τα DLL αρχεία του (x64 ή x86 ανάλογα την αρχιτεκτονική του συστήματος) απευθείας στην μνήμη χωρίς να απαιτείται η εγγραφή του στο δίσκο δίνοντας του το πλεονέκτημα να αποφύγει τυχόν antimalware προγράμματα.
H Fortinet συστήνει στους χρήστες να κατεβάσουν τα τελευταία updates των Windows συστημάτων τους εφόσον η Microsoft φαίνεται να διόρθωσε το πρόβλημα.
