Una nueva familia de malware llamado Jaff ha sido identificado por los investigadores que dicen que están siguiendo actualmente múltiples campañas masivas de spam distribuyendo el malware a través de la red de bots Necurs. Salió de la nada "con una enorme explosión”, dijeron los investigadores Cisco Talos el Viernes 12 de mayo
En las últimas 24 horas, la firma ha observado varias campañas de correo electrónico a gran escala cada una utilizando un archivo PDF adjunto con un documento de Microsoft Word incrustado funciona como el programa de descarga inicial para el ransomware.Según los investigadores de Proofpoint Jaff se distribuye como parte de una campaña masiva de correo no deseado de decenas de millones de mensajes. Si los destinatarios descargan y se permitieron una macro de Word asociado con el PDF se ha descargado el ransomware. Actores detrás del malware entonces exigieron un rescate de 1,79 bitcoins (actualmente $ 3.300).
“Es interesante que hemos identificado varias características que previamente hemos observado que se utilizan durante las campañas Dridex y Locky”, comentan los investigadores Cisco Talos Nick Biasini, Edmund Brumaghin Mercer y Warren y Colin Grady, quien co-autor de un informe publicado el 12 de mayo. Similares características incluyen cómo el ransomware está siendo distribuido y los patrones de comunicación C2, dijeron los investigadores.
“Sin embargo, estamos seguros de que esto no es simplemente una nueva versión con nuevas herramientas’de Locky ransomware. Hay muy poca similitud entre las dos bases de código, y si bien es posible que los mismos actores que una vez utilizados Necurs para difundir Locky ha cambiado a la distribución de Jaff, el malware en sí es suficiente en la naturaleza distinta que debe ser tratada y se refiere como una ransomware familia diferente por completo “, dijeron los investigadores de Cisco.
Proofpoint, que publicó su investigación en el malware el jueves 11 de mayo, dijo que es similar a Bart ransomware que aparezio en junio de 2016. Bart y Jaff tienen una pantalla de pago similar a Locky. Bart cifra los archivos sin antes conectar a un servidor de comando y control, Jaff necesita ser descargado.
El spam que se envía a los destinatarios son típicamente de cualquiera “Joan joan.1234 @ [dominio al azar]” o “John john.doe123 @ [dominio al azar]”, de acuerdo con Proofpoint. Las líneas de asunto varían y son breves como “Recibo para imprimir.” El mensaje es a veces blanco o puede incluir notas cortas tales como “Por favor, imprimir 2 copias”.
El proceso de infección comienza cuando una víctima abre el archivo PDF adjunto única ( “nm.pdf”) que viene con los mensajes.
“En cada caso, el archivo adjunto es un documento PDF malicioso con un documento de Microsoft Word incrustado. Cuando las víctimas abren el PDF, que son recibidos con un mensaje en el cuerpo del PDF, que luego intente abrir el documento de Microsoft Word incrustado “, escribió Cisco. “Un JavaScript dentro del PDF se utiliza para abrir el documento de Microsoft Word incrustado, sin embargo se impulsó el objetivo de aprobar la actividad.
En esta etapa, los investigadores creen, que, al exigir un usuario para aprobar la apertura del documento de Word incrustado los atacantes están tratando de eludir los entornos de recinto de seguridad que se utilizan para detectar malware.
Si se pone en marcha el documento de Word se le pide al usuario “permitir la edición.” Si se aprueba el documento de Word se ejecuta una macro VBA que actúa como el programa de descarga ransomware, dijeron Brumaghin, Mercer y Grady. El guión hace un llamamiento a varios dominios de descarga para recuperar la carga útil Jaff.
“El blob binario descargado es entonces XOR utilizando una clave XOR incrustado dentro de la Maldoc, observamos varias claves XOR lo largo de esta campaña. Esto se encuentra dentro del Módulo 3 de la macro VBA, con el ser clave 'd4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q' XOR “, segun escriben investigadores de Cisco.
Una vez que el proceso XOR se ha completado el archivo ransomware real (PE32) se pone en marcha mediante el procesador de comandos de Windows.
Según los investigadores, los ciclos de malware a través de las carpetas del sistema y los cifra, añadiendo la extensión .jaff de archivo. Una vez infectadas, las instrucciones de rescate incluyen decirle a la víctima instalar el paquete de software completo navegador de Tor con el fin de acceder al sistema de pago de un rescate.
