Pesquisadores de segurança descobriram recentemente uma nova variante da notória família de ransomware Phobos chamada FAUST. De acordo com um comunicado publicado pelo FortiGuard Labs na última quinta-feira, 25, a variante foi encontrada em um documento do pacote Office utilizando um script VBA (Visual Basic for Applications) para propagar o ransomware.
O ransomware Phobos surgiu em 2019, criptografando arquivos nos computadores das vítimas e exigindo resgate em criptomoeda pela chave de descriptografia. O FortiGuard Labs capturou e relatou diversas variantes da família Phobos, incluindo o EKING e o 8Base.
Como parte da campanha com a nova variante FAUST, os invasores utilizam o serviço Gitea para armazenar arquivos maliciosos codificados em Base64. Quando injetados na memória de um sistema, esses arquivos iniciam um ataque de criptografia de arquivos.
A análise do FortiGuard Labs revelou um fluxo de ataque em vários estágios, desde a execução do script VBA até a implantação da carga FAUST. “O documento XLAM que descobrimos contém um script VBA incorporado. Ao abrir o documento, o script aciona o PowerShell para o próximo estágio usando a função “Workbook_Open()”. Em seguida, ele baixa dados codificados em Base64 do Gitea, que podem ser decodificados em um arquivo XLSX limpo. Esse arquivo é então salvo na pasta TEMP e aberto automaticamente, induzindo os usuários a pensar que o processo foi concluído e não causa danos”, explica Cara Lin, no documento de análise do FortiGuard Labs.
Veja isso
Reino Unido diz que IA tornará ransomware mais grave e eficaz
Abin emite alerta sobre ações do ransomware NoEscape
Do ponto de vista técnico, o ransomware FAUST exibe mecanismos de persistência, adicionando uma entrada de registro e copiando-se para pastas de inicialização específicas. Para proteger os dispositivos contra possíveis ameaças de malware, a analista diz que os usuários devem ter cuidado e evitar abrir arquivos de documentos de fontes não confiáveis.
Para ter acesso ao documento de análise do FortiGuard Labs, em inglês, sobre o ransomware FAUST clique aqui.