数字全球世界地图及勒索软件攻击技术研究发展分析发现了一种名为“FAUST”的 Phobos 勒索软件新变种，该变种令人担忧，因为它可以在网络环境中保持持久性，并创建多个线程以实现高效执行。

FortiGuard Labs 研究人员在 1 月 25 日的博客文章中表示，他们通过发现一份 Office 文档发现了这一点，该文档包含旨在传播 FAUST 勒索软件的 Visual Basic (VBA) 脚本。

研究人员表示，攻击者使用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。FortiGuard Labs 表示，当这些文件被注入系统内存时，它们会发起文件加密攻击。

FortiGuard 实验室研究人员表示，Phobos 勒索软件家族于 2019 年出现，此后参与了多次网络攻击。Phobos 勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员表示，他们已经捕获并报告了 Phobos 系列的多个勒索软件变体，包括 EKING 和 8Base。

StrikeReady 首席产品官 Anurga Gurtu 表示，Fortinet 对 Phobos 勒索软件 FAUST 变体的研究表明，它是一种复杂的威胁，特别是因为它的无文件攻击方法和持续嵌入网络的能力。

“虽然建议用户不要点击可疑链接是一种基本防御措施，但显然还需要采取更强有力的措施，”古尔图说。“企业应考虑先进的网络安全策略，包括定期软件更新、员工网络安全培训以及采用全面的安全系统来检测和减轻此类威胁。”

Bambenek Consulting 总裁 John Bambenek 补充说，宏仍然是恶意软件传播的危险部分，因为 VBA 提供了许多公司用于日常应用程序的功能。

“应对这种威胁的最安全方法是完全禁用 Office 中的 VBA，”Bambenek 解释道。“但是，如果这不是一个选择，组织至少可以使用 Windows 防御攻击面减少来禁用 VBA 中的‘高风险’功能，例如阻止 Office 应用程序创建子进程或创建可执行内容。”

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292954

封面来源于网络，如有侵权请联系删除