Phobos勒索软件家族扩展了新的FAUST变体

安全研究人员最近发现了臭名昭著的Phobos勒索软件家族的一个新变种，名为FAUST。

Phobos于2019年首次出现，它对受害者电脑上的文件进行加密，并要求以加密货币支付解密密钥的赎金。

根据FortiGuard实验室上周四发布的一份报告，FAUST变体是在一个利用VBA脚本传播勒索软件的Office文档中发现的。

作为攻击活动的一部分，攻击者使用Gitea服务来存储Base64编码的恶意文件。当注入到系统内存中时，这些文件会发起文件加密攻击。

FortiGuard实验室的分析揭示了一个多阶段的攻击流程，从VBA脚本执行到FAUST有效载荷的部署。

Bambenek咨询公司总裁John Bambenek解释说:“宏仍然是恶意软件传播的一个危险部分，因为VBA提供了许多公司日常应用程序使用的功能。”

应对这种威胁的最安全方法是完全禁用Office中的VBA。但是，如果这不能这样做，组织至少可以使用Windows防御攻击面减少功能来禁用VBA中的高风险功能，例如防止办公应用程序创建子进程或创建可执行内容。

从技术角度来看，FAUST勒索软件展示了持久性机制，添加注册表项并将自身复制到特定的启动文件夹中。

它检查互斥对象，以确保只有一个进程在运行，它包含一个排除列表，以避免对特定文件进行双重加密或加密其赎金信息。加密后的文件带有.fust扩展，受害者被指示通过电子邮件或TOX消息与攻击者联系，以进行赎金谈判。

该研究强调了无文件攻击的威胁，以及用户在打开来自不受信任来源的文档文件时需要谨慎。

Critical Start网络威胁情报研究分析师莎拉•琼斯(Sarah Jones)警告称：”虽然用户的意识和谨慎是网络安全的关键方面，但多层次的防御方法是必要的。个人应谨慎使用附件和链接。只打开附件或点击来自可信来源的链接，并警惕意外邮件。”

此外，定期更新操作系统、应用程序和固件以修补攻击者可能利用的漏洞至关重要。此外，个人需要确保他们的密码是强大且唯一的，并尽可能启用双因素身份验证，以增加额外的安全层。