Οι ερευνητές ανακάλυψαν ένα έγγραφο του Office με μια δέσμη ενεργειών VBA που προοριζόταν για την εξάπλωση του ransomware Phobos, γνωστού ως FAUST. Το Faust Ransomware στοχεύει μη συστημικά αρχεία σε υπολογιστές και δίκτυα, κρυπτογραφώντας τα και καθιστώντας τα μη προσβάσιμα.
Η γνωστή οικογένεια κακόβουλου κακόβουλου λογισμικού με την ονομασία Phobos ransomware δημιουργείται για την κρυπτογράφηση αρχείων στον υπολογιστή του θύματος. Από τότε που ανακαλύφθηκε το 2019, έχει χρησιμοποιηθεί σε πολλαπλές επιθέσεις στον κυβερνοχώρο.
Συνήθως, αυτό το ransomware (λυτρισμικό) προσθέτει ένα κρυπτογραφημένο αρχείο με μια μοναδική επέκταση στον υπολογιστή και ζητά λύτρα σε κρυπτονόμισμα για την αποκρυπτογράφηση.
Οι επιτιθέμενοι χρησιμοποίησαν την υπηρεσία Gitea για να αποθηκεύσουν πολλαπλά αρχεία κωδικοποιημένα σε Base64, καθένα από τα οποία περιείχε ένα κακόβουλο δυαδικό αρχείο. Αυτά τα αρχεία ξεκινούν μια επίθεση κρυπτογράφησης αρχείων όταν εισάγονται στη μνήμη ενός συστήματος.
Ο «Phobos» εξαπλώνεται μέσω των εγγράφων του Office
Σύμφωνα με την ανάλυση της Fortinet, το έγγραφο XLAM που βρέθηκε έχει ενσωματωμένο ένα κείμενο VBA. H «Visual Basic for Applications (VBA)» είναι μια υλοποίηση της γλώσσας προγραμματισμού που βασίζεται σε συμβάντα της Microsoft. Το PowerShell εκκινείται από τη δέσμη ενεργειών όταν ανοίγει το έγγραφο.
Στη συνέχεια, τα δεδομένα λαμβάνονται από το Gitea σε κωδικοποίηση Base64, η οποία μπορεί να αποκωδικοποιηθεί για να δημιουργηθεί ένα καθαρό αρχείο. Έπειτα από αυτό, το αρχείο αυτό ανοίγει αυτόματα και αποθηκεύεται στον φάκελο, εξαπατώντας τους χρήστες να πιστεύουν ότι η διαδικασία έχει ολοκληρωθεί και είναι ασφαλές να χρησιμοποιηθεί.
Ο επιτιθέμενος δημιουργεί μια περιοχή μνήμης στον στόχο, προσθέτει κακόβουλο κώδικα και πραγματοποιεί μια κλήση στο σημείο εισόδου του ωφέλιμου φορτίου.
Πώς λειτουργεί το FAUST
Το ransomware FAUST, μια παραλλαγή της οικογένειας phobos, δημιουργεί αρχεία «info.txt» και «info.hta» μέσα στους καταλόγους που περιέχουν τα κρυπτογραφημένα αρχεία και προσθέτει την επέκταση “.faust” σε κάθε κρυπτογραφημένο αρχείο. Αυτά τα αρχεία χρησιμοποιούνται ως τρόπος επικοινωνίας με τους επιτιθέμενους για να ξεκινήσουν διαπραγματεύσεις για τα λύτρα.
Παρόμοια με τον τρόπο που συμπεριφέρονται συνήθως οι εκδόσεις Phobos, το FAUST ransomware διατηρεί τη λειτουργία αποκρυπτογράφησης για διαμόρφωση.
«Ξεκινά επίσης πολλαπλά νήματα για την εκτέλεση διαφόρων εργασιών. Αυτές οι εργασίες περιλαμβάνουν την ανάπτυξη της κρυπτογράφησης, τη σάρωση λογικών μονάδων, την αναζήτηση πόρων δικτύου/ κοινής χρήσης, τη σάρωση αρχείων μεμονωμένα και τη ρητή αναζήτηση αρχείων που σχετίζονται με τη βάση δεδομένων» ανέφερε η Fortinet.
Ο χρήστες πρέπει να είναι προσεκτικοί και να μην ανοίγουν αρχεία εγγράφων από άγνωστες πηγές για να προστατεύσουν τις συσκευές τους από πιθανές απειλές κακόβουλου λογισμικού.