ForeLord, el nuevo malware, que roba credenciales, fue descubieto en recientes correos electrónicos de spear phishing. Los investigadores han atribuido la campaña a un conocido grupo iraní de amenaza, de persistencia avanzada (APT).
Los correos electrónicos que distribuyen ForeLord, fueron individualizados como parte de una campaña, que se desarrolla entre mediados de 2019 y mediados de enero de 2020. Los correos electrónicos estaban dirigidos a organizaciones en Turquía, Jordania, Irak, así como a organizaciones gubernamentales mundiales y entidades desconocidas en Georgia y Azerbaiyán, dijeron los investigadores el miércoles en la Conferencia de la RSA, que tiene lugar esta semana.
Como parte de la campaña, los expertos observaron múltiples correos electrónicos utilizando archivos adjuntos maliciosos para obtener el acceso inicial. Mientras que históricamente los correos electrónicos de phishing del Cobalt Ulster utilizan como gancho un tema relacionado con una agencia gubernamental, una universidad o una organización de inteligencia, esta campaña más reciente utilizó un “estilo más genérico”.
“Los agentes de la amenaza utilizaron una lista de cuentas de usuario válidas del dominio de destino junto con una lista de contraseñas débiles para determinar las cuentas potencialmente accesibles”, dijeron los investigadores. “La lista de contraseñas podría ser aumentada para probar las credenciales capturadas de las herramientas de descarga de credenciales”.
Los investigadores dicen que a pesar de la amenaza de represalias de Irán por los recientes acontecimientos geopolíticos, esta campaña indica que los APT iraníes siguen centrándose en “la actividad de ciberespionaje de larga duración”.
El conflicto entre EE.UU. e Irán llegó a su punto máximo después de que los aviones no tripulados estadounidenses mataran el 3 de enero a Qassem Soleimani, un general iraní del Cuerpo de la Guardia Revolucionaria Islámica que era muy estimado en Irán. Tras la muerte de Soleimani, los líderes iraníes prometieron tomar represalias. Un sitio web del gobierno de los Estados Unidos fue objeto de vandalismo en enero por piratas informáticos que publicaron imágenes de un presidente ensangrentado, Donald Trump, recibiendo puñetazos en la cara y mensajes pro-iraníes.
Con información de: Threat Post.