ForeLord

Il malware ForeLord è una minaccia individuata di recente che potrebbe provenire dall'Iran. I ricercatori sulla sicurezza informatica ipotizzano che il partito dietro la minaccia ForeLord sia un APT (Advanced Persistent Threat) con base in Iran chiamato Cobalt Ulster. Tuttavia, questo non è ancora stato confermato. Ciò che ha indotto gli esperti a sospettare il coinvolgimento del gruppo di hacker Cobalt Ulster è il fatto che le minacce precedenti schierate dal gruppo presentano somiglianze con il Trojan ForeLord. Inoltre, gli obiettivi di quest'ultima campagna che coinvolgono il Trojan ForeLord sono piuttosto simili agli obiettivi passati del gruppo di hacker Cobalt Ulster. Sembrerebbe che la maggior parte degli obiettivi della campagna malware ForeLord si trovino in Iraq, Azerbaigian, Turchia, Giordania e Georgia.

Metodo di propagazione

Il malware ForeLord è un Trojan progettato per rubare le credenziali di accesso dai suoi obiettivi. Gli aggressori stanno propagando il Trojan ForeLord tramite e-mail di phishing appositamente predisposte. Le e-mail in questione conterrebbero un falso allegato di Microsoft Excel che trasporta il payload dannoso della minaccia ForeLord. Dopo aver aperto l'allegato falso, agli utenti verrà chiesto di fare clic sul pulsante "Abilita contenuto" sul loro schermo. Tuttavia, ciò consentirebbe l'installazione e l'esecuzione di ForeLord Trojan sui loro sistemi. Questo è il motivo per cui gli utenti dovrebbero evitare di aprire allegati da fonti sconosciute.

funzionalità

Una volta installato correttamente sul sistema di destinazione, la minaccia ForeLord stabilirà una connessione con il server C&C (Command & Control) dei distributori. Il C&C invierebbe una conferma al ForeLord Trojan che legge "lordlordlordlord" - da qui deriva il nome della minaccia. Una volta che questo è stato completato, il malware ForeLord riceverà il payload di diversi strumenti di hacking disponibili pubblicamente che verranno poi installati sull'host. Uno degli strumenti in questione si chiama "CredNinja" e serve per aiutare gli aggressori a raccogliere gli hash necessari dall'installazione di Windows, nonché le credenziali di accesso che stavano cercando. È probabile che gli autori del ForeLord Trojan diversifichino il loro funzionamento implementando diversi payload secondari che li aiuteranno a raccogliere dati sensibili dagli host target.

ForeLord Trojan è una minaccia che dovrebbe rimanere inosservata sul sistema compromesso per un lungo periodo per raccogliere le informazioni necessarie. Assicurati che il tuo computer sia protetto da un'applicazione antimalware originale.