安全研究人员最近发现了臭名昭著的Phobos勒索软件家族的一个新变种,名为FAUST。
Phobos于2019年首次出现,它对受害者电脑上的文件进行加密,并要求以加密货币支付解密密钥的赎金。
根据FortiGuard实验室上周四发布的一份报告,FAUST变体是在一个利用VBA脚本传播勒索软件的Office文档中发现的。
作为攻击活动的一部分,攻击者使用Gitea服务来存储Base64编码的恶意文件。当注入到系统内存中时,这些文件会发起文件加密攻击。
FortiGuard实验室的分析揭示了一个多阶段的攻击流程,从VBA脚本执行到FAUST有效载荷的部署。
Bambenek咨询公司总裁John Bambenek解释说:“宏仍然是恶意软件传播的一个危险部分,因为VBA提供了许多公司日常应用程序使用的功能。”
应对这种威胁的最安全方法是完全禁用Office中的VBA。但是,如果这不能这样做,组织至少可以使用Windows防御攻击面减少功能来禁用VBA中的高风险功能,例如防止办公应用程序创建子进程或创建可执行内容。
从技术角度来看,FAUST勒索软件展示了持久性机制,添加注册表项并将自身复制到特定的启动文件夹中。
它检查互斥对象,以确保只有一个进程在运行,它包含一个排除列表,以避免对特定文件进行双重加密或加密其赎金信息。加密后的文件带有.fust扩展,受害者被指示通过电子邮件或TOX消息与攻击者联系,以进行赎金谈判。
该研究强调了无文件攻击的威胁,以及用户在打开来自不受信任来源的文档文件时需要谨慎。
Critical Start网络威胁情报研究分析师莎拉•琼斯(Sarah Jones)警告称:”虽然用户的意识和谨慎是网络安全的关键方面,但多层次的防御方法是必要的。个人应谨慎使用附件和链接。只打开附件或点击来自可信来源的链接,并警惕意外邮件。”
此外,定期更新操作系统、应用程序和固件以修补攻击者可能利用的漏洞至关重要。此外,个人需要确保他们的密码是强大且唯一的,并尽可能启用双因素身份验证,以增加额外的安全层。