VBA 脚本中发现新的 Phobos 勒索软件变种

阅读量56084

发布时间 : 2024-01-29 11:51:03

数字全球世界地图及勒索软件攻击技术研究发展分析

发现了一种名为“FAUST”的 Phobos 勒索软件新变种,该变种令人担忧,因为它可以在网络环境中保持持久性,并创建多个线程以实现高效执行。

FortiGuard Labs 研究人员在 1 月 25 日的博客文章中表示,他们通过发现一份 Office 文档发现了这一点,该文档包含旨在传播 FAUST 勒索软件的 Visual Basic (VBA) 脚本。

研究人员表示,攻击者使用 Gitea 服务存储多个以 Base64 编码的文件,每个文件都携带恶意二进制文件。FortiGuard Labs 表示,当这些文件被注入系统内存时,它们会发起文件加密攻击。

FortiGuard 实验室研究人员表示,Phobos 勒索软件家族于 2019 年出现,此后参与了多次网络攻击。Phobos 勒索软件通常会附加带有唯一扩展名的加密文件,并要求以加密货币支付赎金以获得解密密钥。研究人员表示,他们已经捕获并报告了 Phobos 系列的多个勒索软件变体,包括 EKING 和 8Base。

StrikeReady 首席产品官 Anurga Gurtu 表示,Fortinet 对 Phobos 勒索软件 FAUST 变体的研究表明,它是一种复杂的威胁,特别是因为它的无文件攻击方法和持续嵌入网络的能力。

“虽然建议用户不要点击可疑链接是一种基本防御措施,但显然还需要采取更强有力的措施,”古尔图说。“企业应考虑先进的网络安全策略,包括定期软件更新、员工网络安全培训以及采用全面的安全系统来检测和减轻此类威胁。”

Bambenek Consulting 总裁 John Bambenek 补充说,宏仍然是恶意软件传播的危险部分,因为 VBA 提供了许多公司用于日常应用程序的功能。

“应对这种威胁的最安全方法是完全禁用 Office 中的 VBA,”Bambenek 解释道。“但是,如果这不是一个选择,组织至少可以使用 Windows 防御攻击面减少来禁用 VBA 中的‘高风险’功能,例如阻止 Office 应用程序创建子进程或创建可执行内容。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66