El ransomare Jaff sigue haciendo de las suyas bajo la sombra de WannaCry

Mientras el mundo está ocupado con actualizar los últimos parches de Windows para reparar las vulnerabilidades de Microsoft SMB SM17-010, Jaff, otra versión de ransomware, también hace de las suyas.

Apelando al descuido del usuario, sus creadores planearon obtener sus propios ingresos lanzando este troyano que fue identificado originalmente por el investigador de seguridad S! Ri, y está aprovechando notablemente las campañas de spam en curso de Necurs.

Cisco Talos por si solo ha observado más de 100.000 correos electrónicos relacionados con Jaff desde el día 11 de mayo. Pero el pasado miércoles 7 de Junio, nuevas versiones de este troyano fueron identificadas, en esta ocasión utilizan la extensión .svn para los archivos cifrados y hasta el momento no se tiene manera de recuperar los archivos codificados por este ransomware.

Check Point había expresado ya para describir la magnitud de los ataques adjudicados de Jaff a mediados de mayo, que sus sensores globales registraban una tasa de aproximadamente 10,000 correos electrónicos enviados por hora. Y Forcepoint Security Labs agregó haber observado una telemetría alcanzando un máximo de casi 5 millones de correos electrónicos por hora, con 13 millones de correos electrónicos enviados hasta el pasado 12 de mayo.

“La campaña hace una gran reutilización de archivos; Los mismos archivos maliciosos fueron detectados en cientos de bandejas de correo electrónico de diferentes usuarios “, señaló Check Point en su blog. Dominios asociados con todas las regiones del mundo han sido observados como objetivos.

 En la versión más reciente detectada, se están enviando correos que pretenden haber sido originados por copiadoras locales.

Contienen un tema de mensaje similar al siguiente: mensaje de: KM_C224e y como attachment contienen un archivo con un nombre similar al siguiente: SKM_C224e54955163156.zip el cual ejecutará el malware que cifrará los archivos.

La campaña de correo electrónico original intenta distribuir este malware utilizando las características estándar de correo no deseado o spam. Las líneas de asunto fueron mutadas con una cadena aleatoria de dígitos, pero comienzan  con “Copy_” o “Document_”, por ejemplo “Copy_30396323” y “Document_3758”. El cuerpo del correo electrónico asociado con la campaña inicial está en blanco con un único archivo adjunto denominado “nm.pdf”.

En un principio, por las características del malware, se creyó que venía a ser una nueva versión del ransomware Locky, pero hay poca similitud entre las dos bases de código. También utiliza una página de pago similar, pero solicita la cantidad de 2.047 BTC (aproximadamente $ 3,800)

 

ESPECIFICACIONES GENERALES

NOMBRE: Jaff

DESCRIPCIÓN: Ransomware, Cryptovirus

MÉTODO DE DISTRIBUCIÓN: Correo spam

OBJETIVO DEL ATAQUE: El código fue realizado específicamente para computadoras con sistema operativo Windows.

 

PROCESO DE INFECCION

1.- La víctima recibe correo de spam proveniente de Necurs

2.- Se abre el archivo PDF adjunto

3.- Se permite la apertura del archivo DOCM incrustado

4.- La macro contenida descarga un archivo TXT cifrado

5.- La macro descifra el TXT convirtiéndolo en un EXE que ejecutará Jaff

6.- Se encriptan los archivos

 

ANÁLISIS A DETALLE DEL PROCESO

El proceso requiere la interacción del usuario, esto puede ser un intento por evadir los mecanismos de detección automatizados que las organizaciones pueden haber desplegado, ya que no se produce actividad malintencionada hasta después de que el usuario aprueba. En los ambientes de sandbox que no están configurados para simular esta actividad, la infección puede no ocurrir nunca y podría dar lugar a que el sandbox determine que el archivo es benigno cuando la realidad es que es malicioso, es solo que la infección simplemente no se activó.

El PDF contiene el siguiente Javascript, que es responsable de abrir el documento incrustado de Microsoft Word:

Al presionar click en el botón Aceptar, el PDF abre el documento malicioso de Microsoft Word. Como es de esperar, también se le pide al usuario que active la edición para ver el contenido del documento. Una cosa a tener en cuenta es que el documento malicioso de Microsoft Word contiene dos páginas en lugar de sólo una como generalmente ocurre con gran cantidad de maldocs.

Una vez habilitado el contenido malicioso, el documento de Microsoft Word ejecutará una macro de VBA que funciona como el descargador de ransomware actual y tratará de recuperar el binario de ransomware para infectar el sistema.  La macro de VBA contiene múltiples dominios de descarga que se separan con una mayúscula ‘V’, lo que da al malware múltiples oportunidades para descargar la carga útil maliciosa de múltiples fuentes.

La URL usada para descargar el binario de Jaff es muy similar a lo que se poda  observar en Locky también.

El blob binario descargado anteriormente es XOR’d usando una clave XOR incrustada dentro del maldoc.

Esto se encuentra dentro del Module3 de la Macro VBA, con la clave XOR siendo ‘d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q’

Una vez que este proceso XOR ha completado el ejecutable real PE32 se lanza utilizando el procesador de comandos de Windows utilizando la siguiente sintaxis de línea de comandos:

cmd.exe /C del /Q /F “C:\Documents and Settings\Administrator\local Settings\Temp\pitupi20.exe”

Posteriormente busca a través de las carpetas almacenadas en el sistema y las encripta, anexando la extensión asociada “jaff”y deja un archivo llamado ReadMe.txt en el directorio “Mis documentos” de la víctima el cual contiene la nota de rescate.

 También se cambia el tapiz del usuario al siguiente:

Busca archivos con las siguientes extensiones para su cifrado.

.xlsx , .ACD , .pdf , .pfx , .crt , .la , .canalla , .dwg , .MPEG , .rar , .verduras , .cremallera , .txt , .jpg , .doc , .wbk , .CIS , .vcf , .docx , .ics , .VSC , .mdf , .DSR , .MDI , .msg , .xls , .ppt , .pps , .OBD , .mpd , .punto , .XLT , .maceta , .OBT , .htm , .html , .mezcla , .pub , .VSD , .png , .ico , .rtf , .odt , .3dm , .3ds , .dxf , .max , .obj , .7desde , .cbr , .debutante , .gz , .rpm , .SITX , .toma , .toma, .gz , .ZIPX , .FIA , .si y sólo si , .m3u , .m4a , .medio , .clave , .VIB , .STL , .psd , .este , .xmod , .wda , .prn , .ALF , .cantidad , .xml , .xlsm , .por , .tubo , .WAW , .001 , .002 003, . , .004 , .005 , .006 , .007 , .008 , .009 , .010 , .contacto , .dbx , .BUS , .MAPIMAIL , .OAB , .párrafo , .PPSM , .pptm , .prf , .PST (Tiempo Estándar del Pacífico , .DHS , .1CD , .3g2 , .7cremallera , .accdb , .Aoi , .asf , .áspid, . aspx , .asx , .avi , .detrás , .cielo , .cfg , .clase , .config , .css , .csv , .db , .dds , .retoques , .flv , .idx , .js , .Historia , .laccdb , .idf , .iluminado , .Perspectivas , .Maryland , .mlb , .mov , .mp3 , .mp4 , .mpg , .páginas , .php , .pwm , .rm , .a salvo , .semana , .salvar , .sql , .srt , .swf , .thm , .vob , .wav , .wma , .wmv , .xlsb , .aac , .a , .arw , .c , .cdr , .cls , .cpi , .cpp , .cs , .DB3 , .docm , .dotm , .DOTX , .DRW , .dxb , .eps , .fla , .flac , .FXG , .Java , .m , .m4v , .PCD , .pct , .pl , .senderos , .Potx , .PDMA , .PPSX , .PD , .PspImage , .r3d , .rw2 , .sldm , .sldx , .svg , .tga , .wps , .XLA , .xlam , .XLM , .XLTM , .xltx , .xlw , .acto , .adp , .Alabama , .BKP , .mezcla , .CDF , .CDX , .cgm , .cr2 , .Dacian , .dbf , .dcr , .ddd , .diseño , .dtd , .FDB , .fff , .fpx , .h , .iif , .indd , .jpeg , .MOS , .Dakota del Norte , .NSD , .NSF , .NSG , .NSH , .Ep , .Responder , .petróleo , .no , .palmadita , .PEF , .ptx , .QBB , .QBM , .sas7bdat , .decir , .ST4 , .ST6 , .STC , .sxc , .sxw , .pcs , .taco , .XLK , .aiff , .soy , .bmp , .cmt , .que , .este , .edb , .flvv , .gif , .grupos , .hdd , .hpp , .Iniciar sesión , .m2ts , .m4p , .mkv , .ndf , .nvram , .ogg , .ost , .ayudar , .pdb , .pif , .CQD , .qcow , .qcow2 , .RVT , .ST7 , .stm , .vbox , .vdi , .vhd , .vhdx , .vmdk , .vmsd , .vmx , .vmxf , .3fr , .3PR , .AB4 , .ADCC , .accdt , .ach , .acr , .adb , .SRW , .ST5 , .ST8 , .std , .STI , .STW , .stx , .sxd , .sxg , .ella , .sxm , .Texas , .billetera , .wb2 , .WPD , .x11 , .X3F , .película , .YCbCr , .QBW , .QBX , .QBY , .raf , .rata , .prima , .rwl rdb , .RWZ , .s3db , .sd0 , .SDA , .sin hogar , .sqlite , .sqlite3 , .sqlitedb , .sr , .SRF , .OTH , .OTP , .ots , .hay , .p12 , .p7b , .p7c , .pdd , .pem , .plus_muhd , .Sociedad Anónima , .pptx , .psafe3 , .py , .supremo , .qbr, .mundo , .DDN , .nave , .nk , .nop , .nrw , .ns2 , .ns3 , .ns4 , .nwb , .nx2 , .nxl , .nyf , .odb , .odf , .respuesta , .odm , .palabra , .OTG , .FLR , .iiq , .incpas , .JPE , .kc2 , .kdbx , .KDC , .KPDX , .tomar , .MDC , .mef , .MFW , .MMW , .MNY , .MoneyWell , .mrw, .de , .DGC , .djvu , .DNG , .DRF , .DXG , .eml , .erbsql , .tierra , .exf , .EF , .En nombre de , .FHD , .gris , .gris , .juego , .media pensión , .iBank , .EII , .CDR4 , .cdr5 , .cdr6 , .CDRW , .ce1 , .ce2 , .bolsillo , .buche , .crw , .CSH , .CSL , .db_journal , .dc2 , .DCS , .muelle , .NRW , .anuncios , .AGDL , .perteneciente a , .APJ , .pers , .awg , .atrás , .apoyo , .backupdb , .banco , .bahía , .vg , .BGT , .bik , .dpw , .CDR3 , .AS4

INDICADORES DE COMPROMISO

SHA256 HASHES PARA LOS ARCHIVOS ADJUNTOS:

3d42c848fca91239bbf1e922943c6466aa44be43ebf7ca0ebcab59bb2e27eb38

49ac12934894982da7654a10e8d5cc3f5df500f7bde58481cce63f8b1ce5d969

4e781c648bb0aa0b1d41b61932d4935b3b5d0c9473d13a1b6a1cf4d8ff85e14a

5be7c72e40d26e2df89d3aa0d590bb5af51248e4cab27dde444dec4d1e76364c

8db8b32eaca86182497b83614e15c0693ed6a4d42443e0cdb779c5d6035633f4

b6727793ddc9c4ac6baf600834b38b54de23628b3bec631cfb6705c6fecabf2e

c8fb245c25e7091489f26c538658637f9bfb82a5434282690aebe99015b42070

f8a75a98f671644d6ee626a8920b41e4843f018b479ec82a090d01a8986b70d5

SHA256 HASHES PARA LOS ARCHIVOS INCRUSTADOS DE WORD:

1b5882d4a1feaa522ebbf056b5e25885511a979204f570bd54853d8f343ae6e9

308c2b5fa10c32adbfc4d878b864a9daefbdca679ad5b2016a311476caea0e9a

48c89d083f6a73cf48b6c345e1ff20671a944e9905d95a50f8aa865e74e175c1

691f30943872f5a1037d774942f4e41141bdd3f12c5b78d3dc7bdf9f0471a349

813d2d846de303fd5231b43a69102c54936d8e4649aa25263d6287faac806fd7

a57c3a2c291048a7b8968f81fb24aeb91f6c50130665389115ea9abc0506180b

e77f5822dfaedae8a44ff1f77c5f074c6fb4e6492d8a7debcddb1629bcd02323

URLS PARA DESCARGAR JAFF RANSOMWARE:

10minutesto1.net – GET /jt7677g6

cafe-bg.com – GET /jt7677g6

community-gaming.de – GET /jt7677g6

cor-huizer.nl – GET /jt7677g6

essentialnulidtro.com/af – GET /jt7677g6

lcpinternational.fr – GET /jt7677g6

luxurious-ss.com – GET /jt7677g6

makh.ch – GET /jt7677g6

myinti.com – GET /jt7677g6

mymobimarketing.com – GET /jt7677g6

oneby1.jp – GET /jt7677g6

seoulhome.net – GET /jt7677g6

sextoygay.be – GET /jt7677g6

squidincdirect.com.au – GET /jt7677g6

studyonazar.com – GET /jt7677g6

supplementsandfitness.com – GET /jt7677g6

zechsal.pl – GET /jt7677g6

URLS DE LA MACRO DE WORD PARA DESCARGAR JAFF RANSOMWARE:

  • 203.170.192.184 port 80 – urachart.com – GET /hHGFjd
  • 185.2.31.189 port 80 – fotografikum.com – GET /hHGFjd
  • 185.109.146.224 port 80 – 5hdnnd74fffrottd.com – GET /af/hHGFjd
  • 185.109.146.224 port 80 – byydei74fg43ff4f.net – GET /af/hHGFjd
  • 185.109.146.224 port 80 – sjffonrvcik45bd.info – GET /af/hHGFjd

TRÁFICO POST-INFECCIÓN DE JAFF

  • 198.105.244.228 port 80 whoisfoxxrobiouy.net – GET /a5/
  • rktazuzi7hbln7sy.onion – Dominio Tor para Jaff Decryptor

DOMINIOS ASOCIADOS AL PAYLOAD DE JAFF

hxxp://10minutesto1.net/jt7677g6ROC

hxxp://cafe-bg.com/jt7677g6ROC

hxxp://cifroshop.net/jt7677g6

hxxp://community-gaming.de/jt7677g6

hxxp://cor-huizer.nl/jt7677g6

hxxp://essentialnulidtro.com/af/jt7677g6ROC

hxxp://lcpinternational.fr/jt7677g6ROC

hxxp://luxurious-ss.com/jt7677g6

hxxp://makh.ch/jt7677g6ROC

hxxp://marcelrahner.com/jt7677g6

hxxp://mciverpei.ca/jt7677g6ROC

hxxp://mitservices.net/jt7677g6

hxxp://myinti.com/jt7677g6ROC

hxxp://mymobimarketing.com/jt7677g6

hxxp://oneby1.jp/jt7677g6

hxxp://rhiannonwrites.com/jt7677g6

hxxp://sdmqgg.com/jt7677g6ROC

hxxp://seoulhome.net/jt7677g6ROC

hxxp://sextoygay.be/jt7677g6

hxxp://siddhashrampatrika.com/jt7677g6ROC

hxxp://squidincdirect.com.au/jt7677g6

hxxp://stlawyers.ca/jt7677g6ROC

hxxp://studyonazar.com/jt7677g6ROC

hxxp://supplementsandfitness.com/jt7677g6

hxxp://zechsal.pl/jt7677g6ROC

 

CONCLUSION

Los ataques por parte de ransomware siguen siendo efectivos, grupos de delincuentes lo siguen prefiriendo debido a que aún en su simplicidad, resultan bastante rentables, no requiere mucha inversión de ingeniería por parte del atacante y lamentablemente lo mas seguro es que sigan siendo el medio del que se valgan para hacerse de dinero en el futuro.

Share with your friends










Submit
Tags: