Faust – Phobos ransomware
A Phobos zsarolóprogram-család egy hírhedt rosszindulatú szoftvercsoport, amelynek célja az áldozat számítógépén lévő fájlok titkosítása. 2019-ben jelent meg, és azóta számos kibertámadásban vett részt. Ez a zsarolóprogram jellemzően egyedi kiterjesztéssel látja el a titkosított fájlokat, és kriptopénzben követel váltságdíjat a dekódoló kulcsért. A FortiGuard Labs a Phobos család több zsarolóvírus-változatát is elfogta és jelentette, köztük az EKING és a 8Base változatokat.
A FortiGuard Labs felfedezett egy Office-dokumentumot, amely egy VBA-szkriptet tartalmazott, amelynek célja a FAUST zsarolóvírus, a Phobos egy másik változata terjesztése volt. A támadók a Gitea szolgáltatást használták fel több Base64 kódolású fájl tárolására, amelyek mindegyike egy-egy rosszindulatú bináris fájlt tartalmazott. Amikor ezeket a fájlokat beillesztik a rendszer memóriájába, fájltitkosítási támadást indítanak. Egy fájl nélküli támadást alkalmaz a shellcode telepítéséhez, és a végső FAUST payload-ot juttatja be az áldozat rendszerébe. A FAUST-változat képes a környezetben tartós jelenlét fenntartására, és a hatékony végrehajtás érdekében több szálat hoz létre. A potenciális rosszindulatú fenyegetésekkel szembeni védelem érdekében a felhasználóknak óvatosnak kell lenniük, és tartózkodniuk kell a nem megbízható forrásból származó dokumentumfájlok megnyitásától.
A FortiGuard lab megosztotta az azonosításhoz szükséges mutatókat.