El grupo cibercriminal Cobalt sigue operativo
- Actualidad
Aunque el pasado mes de marzo, el líder del grupo fue arrestado en Europa, expertos de Positive Technologies han detectado actividad criminal compatible con Cobalt, que ha atacado a más de 250 compañías en todo el mundo.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
A mediados de mayo, el Expert Security Center (ESC) de Positive Technologies detectó una campaña de phishing dirigida al sector financiero, con varios signos que sugieren que el grupo Cobalt o sus antiguos participantes estarían detrás de ella.
La primera investigación de Cobalt fue realizada por Positive Technologies en 2016. En una sola noche, el grupo robó en moneda local el equivalente a más de 32.000 dólares de seis cajeros automáticos pertenecientes a un solo banco. Cobalt se centró inicialmente en Europa del Este y el sudeste de Asia, pero en 2017 el grupo agregó nuevos objetivos en América y Europa. Aproximadamente tres cuartas partes de los objetivos de phishing del grupo han sido empresas del sector financiero. Según las estimaciones de Positive Technologies, en los primeros seis meses de 2017 Cobalt envió mensajes de phishing con archivos adjuntos maliciosos a más de 3.000 usuarios de 250 empresas en 13 países.
Cobalt emplea una serie de técnicas para evadir la detección del usuario y los filtros de spam. El grupo piratea sitios públicos débilmente protegidos que usa para alojar malware. Envía mensajes falsos que parecen provenir de los reguladores financieros y partners de la compañía, y se dirige tanto a las direcciones del trabajo como a las direcciones personales de los empleados. En la mayoría de los casos, el objetivo de los mensajes de phishing es comprometer los sistemas bancarios utilizados para la gestión del ATM. Esto permite infectar cajeros automáticos con malware que toma el control del dispensador de efectivo. Durante la etapa final del ataque, las mulas de dinero recogen efectivo de los cajeros automáticos pirateados.
Muchos aspectos técnicos de la campaña de phishing de mayo se parecen mucho a los ataques anteriores del grupo Cobalt, incluidos los enlaces dentro del mensaje para descargar un documento malicioso. La estructura del dominio utilizado para enviar los mensajes se asemeja a la utilizada anteriormente contra bancos en Rusia y Europa del Este. El documento malicioso está estructurado de forma similar a los documentos generados con el exploit kit Threadkit, que había sido utilizado por Cobalt desde febrero. El ataque de mayo utilizó el mismo método para entregar el dropper para descargar una puerta trasera al equipo de destino, así como el mismo método de descifrado.
La puerta trasera incluso contiene las mismas funciones que antes: realizar reconocimientos, ejecutar programas, descargar nuevos módulos, actualizarse a sí mismo, eliminarse, buscar el software antivirus instalado y encriptar el tráfico. Aunque los especialistas de Positive Technologies no detectaron el uso de la herramienta Cobalt Strike que dio nombre al grupo, las técnicas y tácticas recuerdan los ataques previos del grupo.