Новый вид программ-вымогателей FAUST, принадлежащий к известному семейству Phobos, был обнаружен специалистами по кибербезопасности. Phobos появился в 2019 году и зарабатывает на шантаже пользователей.

Исследователи провели анализ схемы атаки и выявили несколько этапов: от активации макроса VBA до установки полезной нагрузки FAUST.

FAUST проникает в систему через документ Office с вредоносным макросом VBA.

Злоумышленники хранили свои файлы на сервисе Gitea в зашифрованном виде Base64. После загрузки в память они запускали процесс шифрования файлов.

С технической стороны программа-вымогатель FAUST использует методы сохранения, добавляя себя в реестр и папки автозагрузки.

Он проверяет наличие объекта Mutex, чтобы избежать повторного запуска, и имеет список исключений, чтобы не шифровать определенные файлы или информацию о выкупе. Зашифрованные файлы получают расширение «.faust», и жертвы должны связаться с хакерами по электронной почте или через сообщение TOX для обсуждения выкупа.

Новый вид программ-вымогателей FAUST, принадлежащий к известному семейству Phobos, был обнаружен специалистами по кибербезопасности. Phobos появился в 2019 году и зарабатывает на шантаже пользователей.

Около минуты

30 января 2024