Araştırmacılar, FAUST olarak bilinen Phobos fidye yazılımını yaymayı amaçlayan, VBA komut dosyası içeren bir Office belgesi keşfetti. FAUST sürümü belirli bir ortamda kalıcılığı koruyabilir ve verimli yürütme için birden fazla iş parçacığı oluşturabilir.
Phobos fidye yazılımı adı verilen iyi bilinen bir kötü amaçlı kötü amaçlı yazılım ailesi, kurbanın bilgisayarındaki dosyaları şifrelemek için oluşturulur. 2019 yılında piyasaya sürülmesinden bu yana birçok siber saldırıda yer aldı.
Genellikle bu fidye yazılımı, bilgisayara benzersiz bir uzantıya sahip şifrelenmiş bir dosya ekler ve şifrenin çözülmesi için bir kripto para birimi fidye talep eder.
Saldırganlar, her biri kötü amaçlı bir ikili dosya içeren, Base64’te kodlanmış birden fazla dosyayı kaydetmek için Gitea hizmetini kullandı. Bu dosyalar sistemin belleğine enjekte edildiklerinde bir dosya şifreleme saldırısı başlatır.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Phobos Fidye Yazılımı Office Belgeleri Aracılığıyla Yayılıyor
Fortinet’in analizine göre, bulunan XLAM belgesinin içinde gömülü bir VBA komut dosyası bulunuyor. PowerShell, belge açıldığında komut dosyası tarafından başlatılır.
Veriler daha sonra Gitea’dan Base64 kodlamasıyla indirilir ve temiz bir XLSX dosyası oluşturmak için kodu çözülebilir. Bundan sonra, bu dosya otomatik olarak açılıp TEMP klasörüne kaydedilerek, kullanıcıları işlemin tamamlandığına ve kullanımın güvenli olduğuna inandırmak için kandırılır.
Saldırgan, hedef süreçte bir bellek bölgesi oluşturur, kötü amaçlı kod ekler ve veri yükünün giriş noktasına çağrı yapar.
Phobos ailesinin bir çeşidi olan FAUST fidye yazılımı, şifrelenmiş dosyaları içeren dizinlerin içinde info.txt ve info.hta dosyaları oluşturur ve her şifrelenmiş dosyaya “.faust” uzantısını ekler. Bu dosyalar, fidye müzakerelerini başlatmak üzere saldırganlarla temasa geçmenin bir yolu olarak kullanılıyor.
Phobos sürümlerinin tipik davranışına benzer şekilde, FAUST fidye yazılımı da yapılandırma için şifre çözme işlevini korur.
“Ayrıca çeşitli görevleri gerçekleştirmek için birden fazla iş parçacığı başlatır. Bu görevler arasında şifrelemenin dağıtılması, mantıksal sürücülerin taranması, ağ/paylaşım kaynaklarının aranması, dosyaların tek tek taranması ve veritabanıyla ilgili dosyaların açıkça aranması yer alıyor”, Fortinet Cyber Security News ile Paylaşıldı.
Son sözler
Tehdit aktörü aynı zamanda kurbanın makinesine kabuk kodunu dağıtmak için dosyasız bir saldırı kullanıyordu ve bu, son FAUST yükünün teslim edilmesine olanak tanıyordu.
EKING ve 8Base, FortiGuard Labs’ın keşfettiği ve belgelediği Phobos ailesinden iki fidye yazılımı çeşididir.
Bu nedenle, kullanıcıların cihazlarını olası kötü amaçlı yazılım tehditlerinden korumak için dikkatli olmaları ve bilinmeyen kaynaklardan gelen belge dosyalarını açmamaları gerekir.