Вымогатель Faust прячется в документах Excel
31/01/24
Исследователи в области кибербезопасности обнаружили новый вариант семейства вымогательских программ Phobos, получивший название Faust. Отчёт о последней итерации вируса был опубликован исследователями FortiGuard Labs из компани Fortinet.
Разновидность Faust является последней из ряда вариантов Phobos, включая Eking, Eight, Elbie, Devos и 8Base, пишут в Securitylab. В ноябре 2023 года Faust уже был задокументирован Cisco Talos. Сообщается, что этот вирус активен ещё с 2022 года и не нацелен на конкретные отрасли или регионы.
Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл.
Параллельно незаметно извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.exe»). Этот файл, в свою очередь, загружает и запускает другой исполняемый файл «SmartScreen Defender Windows.exe», который начинает процесс шифрования.
Faust способен поддерживать постоянное присутствие в среде и создаёт сразу несколько потоков для эффективного шифрования данных.