Pesquisadores de segurança recentemente descobriram uma nova variante da famigerada família de ransomware Phobos chamada FAUST.
Conforme um comunicado publicado pelo FortiGuard Labs na última quinta-feira, 25, a variante foi encontrada em um documento do pacote Office que utiliza um script VBA (Visual Basic for Applications) para propagar o ransomware.
O ransomware Phobos surgiu em 2019, criptografando arquivos nos computadores das vítimas e exigindo um resgate em criptomoeda pela chave de descriptografia.
O FortiGuard Labs capturou e relatou diversas variantes da família Phobos, incluindo a EKING e a 8Base.
Como parte da campanha com a nova variante FAUST, os invasores usam o serviço Gitea para armazenar arquivos maliciosos codificados em Base64.
Quando injetados na memória de um sistema, esses arquivos iniciam um ataque de criptografia de arquivos.
A análise do FortiGuard Labs revelou um fluxo de ataque em várias etapas, desde a execução do script VBA até o desdobramento da carga FAUST.
“O documento XLAM que descobrimos contém um script VBA embutido.
Quando se abre o documento, o script ativa o PowerShell para a próxima etapa usando a função 'Workbook_Open()'.
Em seguida, ele baixa dados codificados em Base64 da Gitea, que podem ser decodificados em um arquivo XLSX limpo.
Este arquivo é então salvo na pasta TEMP e aberto automaticamente, levando os usuários a pensarem que o processo foi concluído e não causa danos", explica Cara Lin, no documento de análise do FortiGuard Labs.
Veja isso: Reino Unido diz que IA tornará ransomware mais sério e eficaz.
Abin emite alerta sobre ações do ransomware NoEscape.
Do ponto de vista técnico, o ransomware FAUST mostra mecanismos de persistência, adicionando uma entrada de registro e se copiando para pastas de inicialização específicas.
Para proteger os dispositivos contra possíveis ameaças de malware, a analista diz que os usuários devem ser cautelosos e evitar abrir arquivos de documentos provenientes de fontes não confiáveis.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...