VBA 脚本中发现新的 Phobos 勒索软件变种

数字全球世界地图及勒索软件攻击技术研究发展分析

发现了一种名为“FAUST”的 Phobos 勒索软件新变种，该变种令人担忧，因为它可以在网络环境中保持持久性，并创建多个线程以实现高效执行。

FortiGuard Labs 研究人员在 1 月 25 日的博客文章中表示，他们通过发现一份 Office 文档发现了这一点，该文档包含旨在传播 FAUST 勒索软件的 Visual Basic (VBA) 脚本。

研究人员表示，攻击者使用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。FortiGuard Labs 表示，当这些文件被注入系统内存时，它们会发起文件加密攻击。

FortiGuard 实验室研究人员表示，Phobos 勒索软件家族于 2019 年出现，此后参与了多次网络攻击。Phobos 勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员表示，他们已经捕获并报告了 Phobos 系列的多个勒索软件变体，包括 EKING 和 8Base。

StrikeReady 首席产品官 Anurga Gurtu 表示，Fortinet 对 Phobos 勒索软件 FAUST 变体的研究表明，它是一种复杂的威胁，特别是因为它的无文件攻击方法和持续嵌入网络的能力。

“虽然建议用户不要点击可疑链接是一种基本防御措施，但显然还需要采取更强有力的措施，”古尔图说。“企业应考虑先进的网络安全策略，包括定期软件更新、员工网络安全培训以及采用全面的安全系统来检测和减轻此类威胁。”

Bambenek Consulting 总裁 John Bambenek 补充说，宏仍然是恶意软件传播的危险部分，因为 VBA 提供了许多公司用于日常应用程序的功能。

“应对这种威胁的最安全方法是完全禁用 Office 中的 VBA，”Bambenek 解释道。“但是，如果这不是一个选择，组织至少可以使用 Windows 防御攻击面减少来禁用 VBA 中的‘高风险’功能，例如阻止 Office 应用程序创建子进程或创建可执行内容。”