O Ransomware Phobos está se expandindo com a nova variante FAUST
31 de Janeiro de 2024

Pesquisadores de segurança recentemente descobriram uma nova variante da famigerada família de ransomware Phobos chamada FAUST.

Conforme um comunicado publicado pelo FortiGuard Labs na última quinta-feira, 25, a variante foi encontrada em um documento do pacote Office que utiliza um script VBA (Visual Basic for Applications) para propagar o ransomware.

O ransomware Phobos surgiu em 2019, criptografando arquivos nos computadores das vítimas e exigindo um resgate em criptomoeda pela chave de descriptografia.

O FortiGuard Labs capturou e relatou diversas variantes da família Phobos, incluindo a EKING e a 8Base.

Como parte da campanha com a nova variante FAUST, os invasores usam o serviço Gitea para armazenar arquivos maliciosos codificados em Base64.

Quando injetados na memória de um sistema, esses arquivos iniciam um ataque de criptografia de arquivos.

A análise do FortiGuard Labs revelou um fluxo de ataque em várias etapas, desde a execução do script VBA até o desdobramento da carga FAUST.

“O documento XLAM que descobrimos contém um script VBA embutido.

Quando se abre o documento, o script ativa o PowerShell para a próxima etapa usando a função 'Workbook_Open()'.

Em seguida, ele baixa dados codificados em Base64 da Gitea, que podem ser decodificados em um arquivo XLSX limpo.

Este arquivo é então salvo na pasta TEMP e aberto automaticamente, levando os usuários a pensarem que o processo foi concluído e não causa danos", explica Cara Lin, no documento de análise do FortiGuard Labs.

Veja isso: Reino Unido diz que IA tornará ransomware mais sério e eficaz.

Abin emite alerta sobre ações do ransomware NoEscape.

Do ponto de vista técnico, o ransomware FAUST mostra mecanismos de persistência, adicionando uma entrada de registro e se copiando para pastas de inicialização específicas.

Para proteger os dispositivos contra possíveis ameaças de malware, a analista diz que os usuários devem ser cautelosos e evitar abrir arquivos de documentos provenientes de fontes não confiáveis.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...