Cobalt Strike Malware
Scitto da Tomas Meskauskas il (aggiornato)
Cobalt Strike virus, guida di rimozione
Cos'è Cobalt Strike?
Cobalt Strike è uno strumento utilizzato per rilevare le vulnerabilità di penetrazione del sistema. Lo strumento stesso dovrebbe essere usato per test del software al fine di trovare vari bug e difetti. Tuttavia, il problema è che i criminali informatici spesso approfittano di tali strumenti e Cobalt Strike non fa eccezione. I risultati della ricerca mostrano che queste persone inviano centinaia di migliaia di email spam contenenti allegati dannosi di Microsoft Word progettati per iniettare Cobalt Strike nel sistema.
Le campagne spam sono diverse e spesso dipendono dalla posizione dei destinatari. Ad esempio, una delle campagne di spam indirizzate al Vietnam fornisce un allegato denominato "Danh Sach Nhan Vien Bien Thu Tien Cong Ty.docx", che si traduce approssimativamente in "Elenco degli impiegati dipendenti marini.docx". Un'altra campagna di spam, destinata agli utenti russi, fornisce un allegato denominato "Изменения в системе безопасности.doc Visa payWave.doc", che si traduce approssimativamente in "Modifiche di sicurezza Visa payWave.doc". In ogni caso, l'allegato aperto contiene incoraggiare gli utenti a "Abilitare la modifica" (ad esempio abilitare i comandi macro). Ciò che è più importante è che una volta aperto l'allegato, esegue immediatamente una serie di comandi di PowerShell negli sfondi del sistema. Questi comandi si collegano fondamentalmente a un server remoto e, dopo aver eseguito una serie di azioni, scarica e installa Cobalt Strike nel sistema. Ora questo strumento consente ai criminali informatici di eseguire una serie di azioni dannose da remoto (ad es. Caricare / scaricare file, registrare sequenze di tasti, ecc.). Di seguito è riportato l'elenco completo delle funzioni. In un modo o nell'altro, la presenza di Cobalt Strike potrebbe causare una serie di problemi. Prima di tutto, i criminali informatici potrebbero iniettare una varietà di virus nel sistema (ad esempio, trojan, ransomware e così via). Inoltre, possono facilmente rubare vari dati personali (compresi gli account) registrando i tasti. I truffatori possono accedere a banche, social network, e-mail e altri account e, quindi, rubare l'identità e il denaro della vittima. Pertanto, gli utenti che hanno Cobalt Strike installato sui loro computer sono in grave pericolo. Se di recente hai aperto uno dei suddetti allegati e-mail (o simili), esegui immediatamente la scansione del sistema con una suite anti-virus / anti-spyware affidabile ed elimini tutte le minacce rilevate.
Nome | Cobalt Strike virus |
Tipo di Minaccia | Trojan, ruba password, malware bancario, spyware |
Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio, quindi nessun particolare sintomo è chiaramente visibile su una macchina infetta. |
Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, ingegneria sociale, crack software. |
Danni | Informazioni bancarie rubate, password, furto di identità, computer della vittima aggiunto a una botnet. |
Rimozione | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Ci sono molti virus distribuiti usando campagne di spam e-mail. L'elenco di esempi include (ma non è limitato a) FormBook, TrickBot, Hancitor, Ursnif, Emotet, Adwind, e AZORult. Questi virus sono sviluppati da diversi criminali informatici e il loro comportamento potrebbe essere diverso. Tuttavia, tutti loro hanno una cosa in comune: rappresentano una grande minaccia per la privacy degli utenti, così come la sicurezza informatica e finanziaria. Per questi motivi, l'eliminazione è fondamentale.
Come ha fatto Cobalt Strike ad infilarsi nel mio computer?
Come accennato in precedenza, Cobalt Strike è distribuito tramite campagne di spam e-mail. I truffatori inviano email a centinaia di migliaia di utenti. Queste e-mail contengono messaggi ingannevoli che incoraggiano ad aprire un file allegato (documento Microsoft Word). Tuttavia, ciò provoca un'infezione da malware. Questa è una tecnica molto comune per la distribuzione di malware. Tuttavia, l'allegato non è sempre un documento di MS Office. Può anche essere un file JavaScript, PDF, archivio, eseguibile e così via. In un modo o nell'altro, tutte queste infezioni non possono verificarsi senza l'interferenza dell'utente. In altre parole, l'utente stesso deve attivare l'infezione aprendo il documento allegato. Pertanto, la mancanza di conoscenza e il comportamento spericolato degli utenti sono i principali motivi delle infezioni informatiche. Dovremmo ricordare che alcuni virus vengono distribuiti utilizzando strumenti di aggiornamento software falso, crack software, trojan e fonti di download di software non ufficiali. Gli aggiornamenti software falsi infettano i computer sfruttando bug / difetti obsoleti del software o semplicemente scaricando e installando malware piuttosto che aggiornamenti / correzioni effettive. Gli strumenti di crack sostengono di consentire agli utenti di attivare software gratuitamente. Tuttavia, invece di farlo, questi strumenti in genere si infiltrano nel malware nel sistema - la funzionalità di cracking è un semplice travestimento. I trojan sono progettati per causare infezioni a catena: si infiltrano nei computer e continuano a iniettare malware aggiuntivo. Le fonti di download di terze parti (reti peer-to-peer [P2P], siti Web di download gratuiti, siti di hosting gratuito di file, ecc.) Vengono utilizzate per presentare virus come software legittimo. In tal modo, i truffatori inducono gli utenti a scaricare e installare malware da soli.
Come evitare l'installazione di un malware?
Per evitare questa situazione, gli utenti devono essere molto cauti durante la navigazione in Internet, nonché scaricare, installare e aggiornare il software. Assicurati sempre di analizzare attentamente ogni singolo allegato e-mail ricevuto. Se il file (o il collegamento allegato) sembra irrilevante e / o il mittente sembra sospetto, non aprirlo. Inoltre, assicurati di scaricare app solo da fonti ufficiali, utilizzando i link per il download diretto. I downloader / installatori di terze parti spesso includono applicazioni non autorizzate, motivo per cui tali strumenti non dovrebbero mai essere utilizzati. Anche le crepe del software non dovrebbero mai essere utilizzate, perché non solo il software di cracking è considerato una legge informatica, ma spesso gli utenti finiscono per installare malware piuttosto che attivare il software desiderato. Raccomandiamo vivamente di mantenere sempre aggiornate le applicazioni installate. Per ottenere questo, tuttavia, gli utenti dovrebbero utilizzare solo le funzionalità implementate o gli strumenti forniti dallo sviluppatore ufficiale. Raccomandiamo inoltre di avere sempre una suite anti-virus / anti-spyware legittima installata e funzionante: questi strumenti sono molto utili quando si parla di sicurezza dei computer, perché sono molto propensi a rilevare ed eliminare malware prima che causino danni. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Elenco delle funzionalità fornite da Cobalt Strike:
- Esegui comandi
- Movimento laterale
- Registra sequenze di tasti
- Mimikatz
- Port scanning
- Aumento dei privilegi
- Proxy SOCKS
- Carica / scarica file
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è Cobalt Strike?
- STEP 1. Rimozione manale di Cobalt Strike malware.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando Task Manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP and Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare il nome del malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascosti prima di procedere. Se trovi il file del malware assicurati di rimuoverlo.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovrebbe aiutare a rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercano di rimuovere il malware in seguito. Per proteggere il computer, assicurarsi di installare gli aggiornamenti del sistema operativo più recenti e utilizzare il software antivirus.
Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
▼ Mostra Discussione