ForeLord
Le malware ForeLord est une menace nouvellement repérée qui est susceptible de provenir de l'Iran. Les chercheurs en cybersécurité spéculent que la partie derrière la menace ForeLord est une APT (Advanced Persistent Threat) basée en Iran appelée Cobalt Ulster. Mais cela reste à confirmer. Ce qui pousse les experts à soupçonner l'implication du groupe de piratage Cobalt Ulster, c'est le fait que les menaces précédentes déployées par le groupe présentent des similitudes avec le cheval de Troie ForeLord. De plus, les cibles de cette dernière campagne impliquant le cheval de Troie ForeLord sont assez similaires aux cibles précédentes du groupe de piratage Cobalt Ulster. Il semblerait que la plupart des cibles de la campagne de logiciels malveillants ForeLord se trouvent en Irak, en Azerbaïdjan, en Turquie, en Jordanie et en Géorgie.
Méthode de propagation
Le malware ForeLord est un cheval de Troie conçu pour voler les informations de connexion de ses cibles. Les attaquants propagent le cheval de Troie ForeLord via des e-mails de phishing spécialement conçus. Les e-mails en question contiendraient une fausse pièce jointe Microsoft Excel qui transporte la charge utile nuisible de la menace ForeLord. Après avoir ouvert la fausse pièce jointe, les utilisateurs seront invités à cliquer sur le bouton «Activer le contenu» sur leur écran. Cependant, cela permettrait l'installation et l'exécution du cheval de Troie ForeLord sur leurs systèmes. C'est pourquoi les utilisateurs doivent éviter d'ouvrir des pièces jointes à partir de sources inconnues.
Capacités
Une fois qu'il a été installé avec succès sur le système cible, la menace ForeLord établira une connexion avec le serveur C&C (Command & Control) des déployeurs. Le C&C enverrait une confirmation au cheval de Troie ForeLord qui indiquerait «lordlordlordlord» - c'est de là que dérive le nom de la menace. Une fois cette opération terminée, le malware ForeLord recevra la charge utile de plusieurs outils de piratage accessibles au public qui seront ensuite installés sur l'hôte. L'un des outils en question est nommé «CredNinja», et il aide les attaquants à collecter les hachages nécessaires à partir de l'installation de Windows, ainsi que les informations de connexion qu'ils recherchaient. Il est probable que les auteurs du cheval de Troie ForeLord diversifieront leur fonctionnement en déployant différentes charges utiles secondaires qui les aideront à collecter des données sensibles à partir des hôtes ciblés.
Le cheval de Troie ForeLord est une menace qui est censée rester inaperçue sur le système compromis pendant une longue période pour recueillir les informations nécessaires. Assurez-vous que votre ordinateur est protégé par une véritable application anti-malware.
