Исследователи в области кибербезопасности обнаружили новую версию вымогательской программы под названием Faust, которая является последней в серии вариаций Phobos. Эксперты из FortiGuard Labs, компании Fortinet,
Ссылка скрыта от гостей
свой свежий отчет об этой новой версии вредоносного ПО.
Faust является последним звеном в цепи разновидностей Phobos, которая также включает в себя Eking, Eight, Elbie, Devos и 8Base. Специалисты по кибербезопасности из Cisco Talos обнаружили Faust еще в ноябре 2023 года. Сообщается, что данный вирус активен с 2022 года и не ограничивается определенными отраслями или регионами.
Атака начинается с использования инфицированного документа формата Microsoft Excel с расширением ".XLAM", содержащего скрипт на языке VBA. Зашифрованные файлы хранятся на сервисе Gitea, каждый содержит вредоносный двоичный файл в кодировке Base64. Параллельно без вызова подозрений извлекается исполняемый файл, маскированный под обновление программы AVG AntiVirus (файл с названием "AVG updater.exe"). Эта программа загружает и активирует другой исполняемый файл с названием "SmartScreen Defender Windows.exe", который начинает процесс шифрования данных.
Faust способен оставаться незамеченным в системе и создает несколько потоков для более эффективного шифрования информации.
