ForeLord

ForeLord Descripción

El malware ForeLord es una amenaza recientemente detectada que probablemente se originará en Irán. Los investigadores de ciberseguridad especulan que la parte detrás de la amenaza ForeLord es una APT (Amenaza persistente avanzada) con sede en Irán llamada Cobalt Ulster. Sin embargo, esto aún no se ha confirmado. Lo que llevó a los expertos a sospechar la participación del grupo de piratería Cobalt Ulster es el hecho de que las amenazas anteriores desplegadas por el grupo tienen similitudes con el troyano ForeLord. Además, los objetivos en esta última campaña que involucra al troyano ForeLord son bastante similares a los objetivos anteriores del grupo de piratería Cobalt Ulster. Parece que la mayoría de los objetivos de la campaña de malware ForeLord se encuentran en Irak, Azerbaiyán, Turquía, Jordania y Georgia.

Método de propagación

El malware ForeLord es un troyano diseñado para robar credenciales de inicio de sesión de sus objetivos. Los atacantes están propagando el troyano ForeLord a través de correos electrónicos de phishing especialmente diseñados. Los correos electrónicos en cuestión contendrían un archivo adjunto falso de Microsoft Excel que lleva la carga dañina de la amenaza ForeLord. Después de abrir el archivo adjunto falso, se pedirá a los usuarios que hagan clic en el botón "Habilitar contenido" en su pantalla. Sin embargo, hacerlo permitiría la instalación y ejecución del troyano ForeLord en sus sistemas. Es por eso que los usuarios deben evitar abrir archivos adjuntos de fuentes desconocidas.

Capacidades

Una vez que se ha instalado con éxito en el sistema de destino, la amenaza ForeLord establecerá una conexión con el servidor de C&C (Comando y Control) de los implementadores. Los C&C enviarían una confirmación al troyano ForeLord que dice 'lordlordlordlord', de aquí es de donde se deriva el nombre de la amenaza. Una vez que esto se haya completado, el malware ForeLord recibirá la carga útil de varias herramientas de piratería disponibles públicamente que luego se plantarán en el host. Una de las herramientas en cuestión se llama 'CredNinja' y sirve para ayudar a los atacantes a recopilar los hashes necesarios de la instalación de Windows, así como las credenciales de inicio de sesión que estaban buscando. Es probable que los autores del troyano ForeLord diversifiquen sus operaciones mediante el despliegue de diferentes cargas útiles secundarias que les ayudarán a recopilar datos confidenciales de los hosts de destino.

El troyano ForeLord es una amenaza que debe pasar desapercibida en el sistema comprometido durante un largo período para recopilar la información necesaria. Asegúrese de que su computadora esté protegida por una aplicación antimalware genuina.