发现了一种新的 Phobos 勒索软件变种，在 VBA 脚本中 媒体

新发现的FAUST变种勒索软件

关键要点

最近，发现了一种名为 FAUST 的新变种 Phobos 勒索软件，这引起了广泛关注，因其在网络环境中能够保持持久性，并且能够创建多个线程以提升执行效率。

根据 FortiGuard Labs 在 1 月 25 日的博客文章，FortiGuard Labs 的研究人员 表示，他们通过发现一份包含 Visual Basic (VBA) 脚本的 Office 文档，揭示了 FAUST 勒索软件的扩散机制。

研究人员指出，攻击者使用 Gitea 服务存储了多个以 Base64 编码的文件，并且每个文件都包含一个恶意二进制文件。据 FortiGuard Labs 所述，当这些文件被注入到系统内存中时，会发起文件加密攻击。

FortiGuard Labs 的研究人员表示，Phobos 勒索软件家族 自 2019 年开始出现，并参与了多起网络攻击。Phobos 勒索软件通常会将加密文件附加上独特的扩展名，并且要求以加密货币支付赎金以获取解密密钥。研究人员表示，他们已经捕获并报告了多个 Phobos 家族的勒索软件变种，包括 EKING 和 8Base。

Fortinet 针对 FAUST 变种 Phobos 勒索软件的研究表明，这是一种复杂的威胁，尤其是其无文件攻击方法及在网络内持久嵌入的能力，正如 StrikeReady 的首席产品官 Anurga Gurtu 所述。

Gurtu 强调：“虽然提醒用户不要点击可疑链接是一种基本防御措施，但显然需要更强有力的应对措施，企业应考虑更先进的网络安全策略，包括定期软件更新、员工网络安全培训，以及采用全面的安全系统来检测和缓解此类威胁。”

Bambenek Consulting 的总裁 John Bambenek 补充说，宏仍然是恶意软件传播的危险环节，因为 VBA 提供了许多公司日常应用所需的功能。

Bambenek 解释道：“应对这一威胁最安全的方法是完全禁用 Office 中的 VBA。然而，如果这不现实，组织至少可以使用 Windows Defender 攻击面减少功能禁用 VBA 中的‘高风险’功能，例如防止 Office 应用程序创建子进程或生成可执行内容。”

评论