Cobalt Strike es una herramienta usada para detectar vulnerabilidades de acceso al sistema. La herramienta en sí se usa normalmente para pruebas de software y para encontrar varios errores y fallos de seguridad. Sin embargo, el problema viene cuando los ciberdelincuentes se aprovechan de tales herramientas y Cobalt Strike no es una excepción Según la investigación, esas personas envían cientos de miles de correos basura con adjuntos maliciosos Microsoft Word diseñados para inyectar Cobalt Strike en el sistema.
Las campañas de spam son diferentes y suelen variar en función de la ubicación del destinatario. Por ejemplo, una campaña de spam dirigida a Vietnam incluye un adjunto con nombre “Danh Sach Nhan Vien Bien Thu Tien Cong Ty.docx”, que se traduciría más o menos como “Lista de empleados de la Marina.docx”. Otra campaña spam dirigida a usuarios rusos muestra un adjunto denominado “Изменения в системе безопасности.doc Visa payWave.doc”, que se traduciría más o menos por “Cambia la seguridad de Visa payWave.doc”. En cualquier caso, al abrir el adjunto, se insta a los usuarios a “Habilitar la edición” (también se conoce como “habilitar comandos macro”). Hay que destacar que, una vez que se abre el adjunto, se ejecuta de inmediato una serie de comandos PowerShell en segundo plano. Con esos comandos, el sistema se conecta básicamente a un servidor remoto y, tras realizar una serie de acciones, descarga e instala en última instancia Cobalt Strike en el sistema. Ahora bien, esta herramienta permite a los ciberdelincuentes realizar una serie de acciones maliciosas de forma remota (p. ej. actualizar/descargar archivos, recabar pulsaciones de teclas, etc.). Puede encontrar la lista completa de funciones abajo. De una forma u otra, la presencia de obalt Strike podría ocasionar una serie de problemas. En primer lugar, los ciberdelincuentes podrían inyectar otros virus en el sistema (p. ej. troyanos, ransomware, etc.). Asimismo, pueden robar fácilmente varios datos personales (incluyendo cuentas) y registran pulsaciones de teclas. Los delincuentes pueden obtener acceso al banco, red social, correo electrónico y otras cuentas, de ahí que se suplante la identidad de la víctima y se robe el dinero. Por tanto, los usuarios que han instalado Cobalt Strike en sus equipos están en grave peligro. Si ya ha abierto hace poco alguno de los adjuntos de correo mencionados anteriormente (o parecidos), le recomendamos encarecidamente analizar el sistema con un software antivirus o antiespía y eliminar todas las amenazas detectadas.
Hay muchos virus que se distribuyen usando campañas de spam. La lista de ejemplos incluye (sin mencionarlos a todos) FormBook, TrickBot, Hancitor, Ursnif, Emotet, Adwind y AZORult. Esos virus están desarrollados por diferentes ciberdelincuentes y su modus operandi puede ser ligeramente diferente. Sin embargo, todos ellos tienen una cosa en común: representan una grave amenaza para la privacidad del usuario, así como para la seguridad informática y económica. Por este motivo, es imprescindible eliminarlos.
Como se indicaba anteriormente, Cobalt Strike se distribuye usando campañas de correo basura por e-mail. Los delincuentes envían correos a cientos de miles de usuarios. Esos correos contienen mensajes engañosos que instan a que se abra un archivo adjunto (documento Microsoft Word). Sin embargo, al hacer esto, se acaba infectando el sistema con malware. Se trata de una técnica muy común para distribuir malware. Sin embargo, el adjunto no es siempre un documento MS Office. Puede ser también un archivo JavaScript, PDF, ejecutable, etc. De una forma u otra, todas esas infecciones no se pueden producir sin que intervenga el usuario. Con otras palabras, el propio usuario tiene que iniciar la infección abriendo el documento adjunto. Por tanto, las principales razones por las que se infecta el equipo son la falta de conocimiento y precaución. Hay que destacar que algunos virus suelen distribuirse a través de campañas de correo basura, troyanos, descargas de software de terceros y asistentes falsos de actualizaciones de software. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Las herramientas piratas dicen activar el software gratuitamente. Sin embargo, en vez de hacer eso, esas herramientas suelen descargar malware en el sistema, la función de activación es simplemente una estafa. Los troyanos han sido diseñados para provocar infecciones en cadena: se infiltran en los equipos y continúan inyectando otro malware. Las fuentes de descargas no oficiales (redes P2P, portales de descargas gratuitas, sitios de alojamiento de archivos, etc.) presentan ejecutables maliciosos como software legítimo. Así los delincuentes engañan a los usuarios para que descarguen e instalen malware ellos mismos.
