Nueva variante de Jaff Ransomware - Nuevos IoC

Una nueva variante de Jaff Ransomware, descubierta por Brad Duncan, ha sido distribuida a través de correo electrónico malicioso utilizando archivos adjuntos PDF con documentos Word incrustados que contienen macros que inician la infección. Funciona así: las víctimas deben abrir el archivo PDF adjunto, luego aparece una ventana en donde te piden aceptar abrir el documento de Word incrustado, a continuación, habilitas las macros en el documento de Word incrustado y se infecta el computador Windows.

Estos correos tienen como asunto de engaño enviar una factura adjunta.


Abierto el archivo PDF, solicita abrir un documento Word incrustado.

Luego de abrir el documento Word, solicitará permitir la ejecución de la macro del archivo.


Windows infectado. La extensión utilizada para encriptar: .wlu.


Lo más importante, PREVENIR.

INDICADORES DE COMPROMISO (IoC)

Cuentas de correo falsas para enviar el archivo malicioso:
  • ALISA.PICKARD@ADAMSINSTALLATIONS.CO.UK>
  • ALYSSA.BUTLING@MATTRICHLING.COM>
  • CAROLYN.BOSTON@FLORIN.FR>
  • DENIS.SENIOR@INFOTEC.NO>
  • DUSTY.HAMMOND@EASTWELLIRONWORKS.CO.UK>
  • ELAINE.BARKER@SCHIONNINGDEVELOPMENT.DK>
  • FREDRIC.RALLI@RVAGROCERYSHOPPER.COM>
  • GENA.CLYDE@CORTE.CH>
  • HERMINIA.UREN@BIGBOYPUZZLES.COM>
  • JENNA.LAMPET@ALIF-INTERNATIONAL.COM>
  • LILLIE.TRAVERS@CHANGEAGENTS.BIZ>
  • LUPE.FERN@DWTAXPREP.COM>
  • MEAGAN.FALKENBERG@MIKEPRICE.INFO>
  • MICAH.HOG@SBINFRACON.COM>
  • MOLLIE.BOSCAWEN@STRAYFAMILY.COM>
  • ROBIN.PETER@JUSTPLUMBIT.CO.UK>
  • SILVIA.GASKIN@RSDRUKKERIJ.NL>
  • TONY.SCOWBY@RELATIVITYCOMPUTING.COM>
  • VICKY.GILLESPIE@CASAXALTEVA.ORG>
  • VIOLET.BAGBY@JAMES-FOLEY.CO.UK>
Lista de hashes SHA256 de los archivos PDF:

  • 0218178eec35acad7909a413d94d84ae3d465a6ea37e932093ec4c7a9b6a7394
  • 0a326eb9a416f039be104bb5f199b7f3442515f88bd5c7ad1492b1721c174b8e
  • 21da9eeded9581f6f032dea0f21b45aa096b0330ddacbb8a7a3942a2026cc8ca
  • 4458f43127bb514b19c45e086d48aba34bf31baf1793e3d0611897c2ff591843
  • 66320f4e85e3d6bd46cf00da43ca421e4d50c2218cb57238abb2fb93bef37311
  • 7dd248652f2b42f3e1ad828e686c8ba458b6bb5b06cea46606ceccdd6b6e823c
  • 8a474cdd4c03dd4a6ba6ad8945bf22f74f2f41830203f846d5437f02292bb037
  • 956e43ece563fd46e6995fae75a0015559f0a63af5059290a40c64b906be5b9b
  • 9beb67a68396375f14099055b712e22673c9a1d307a76125186127e289ab41a2
  • b2b9c02080ae6fbe1845c779e31b5f6014ec20db74d21bd9dd02c444a0d0dd9b
  • c126e731c1c43d52b52a44567de45796147aca1b331567ed706bf21b6be936b4
  • cde2ff070e86bc1d72642cb3a48299080395f1df554e948fd6e8522579dfe861
  • daf01a1f7e34e0d47ecdfcef5d27b2f7a8b096b4e6bc67fb805d4da59b932411
  • e477300e8f8954ee95451425035c7994b984d8bc1f77b4ccf2a982bb980806fe

Lista de hashes SHA256 de los archivos Word:
  • 084ee31e69053e66fafe6e1c2a69ffec015f95801ce6020f7765c56d6f3c23ff - PQQIDNQM.docm
  • 0855061389b62ec6a9b95552357ff7571ae5c034b304978a533c6cba06c3f9e8 - GYTKPVM.docm
  • 1f2598dc7a7b8f84307d8c2fa41f5550c320f8192cd41e50b47570d3836e6fcc - RNJSMOVS.docm
  • 2dbf9e1c412aa1ffd32a91043642eb9cc80772c87dbbce3dd098c57d917277fb - DLDD7LH.docm
  • 3f95a7eeb1965193a4e92862c10897e04708b37b793b8e45f890d019358214c0 - DC2ZPQ.docm
  • 56cd249ff82e9bb96a73262090bc6a299ead64d6c75161520e745c2066f22430 - KAR6WLU.docm
  • 795d8312749c122fa10a93c9f3aa1c0f4ffc081714c0ddb66c141334f8ef0633 - M4SQLA2.docm
  • 8906d10a48487d8240bddd0c0cb5c076e88104c86bdf871b0143d74b6df3cc98 - NQBCXP4.docm
  • 91aa966e837c4144a1294aa912a2162397f3a6df98cf336891d234e267cd919f - RNOHLIAFU.docm
  • 933fcc1bf90716abf7c4eaf29b520d2276df895fb4dd5a76be2a55028a4da94e - PCHLUPL.docm
  • a98782bd10004bef221e58abcecc0de81747e97910b8bbaabfa0b6b30a93b66b - Q1DOEY13.docm
  • ae244ca170b6ddc285da0598d9e108713b738034119bae09eaa69b0c5d7635f8 - TH1DZZPT.docm
  • bc0b2fbe4225e544c6c9935171a7d6162bc611a82d0c6a5f3d62a3f5df71cf8c - OLZNKWSOW.docm
  • c702deaa2fe03f188a670d46401e7db71628e74b0e5e2718a19e2944282e05cd - VUG3FBFO.docm
Binario de Jaff Ransomware:
  • SHA256 hash: 557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
  • File size: 241,664 bytes
  • File location: C:\Users\[username]\AppData\Local\Temp\levinsky8.exe
URLs accedidas por las macros para descargar el binario:
  • billiginurlaub.com - GET /fgJds2U
  • david-faber.de - GET /fgJds2U
  • elateplaza.com - GET /fgJds2U
  • electron-trade.ru - GET /fgJds2U
  • fjjslyw.com - GET /fgJds2U
  • hr991.com - GET /fgJds2U
  • jinyuxuan.de - GET /fgJds2U
  • khaosoklake.com - GET /fgJds2U
  • minnessotaswordfishh.com - GET /af/fgJds2U
  • oliverkuo.com.au - GET /fgJds2U
  • pcflame.com.au - GET /fgJds2U
  • tdtuusula.com - GET /fgJds2U
  • williams-fitness.com - GET /fgJds2U
Comunicación post-infección:
  • 185.109.147.122 port 80 - maximusstafastoriesticks.info - GET /a5/
  • rktazuzi7hbln7sy.onion (dominio tor para desencriptar archivos)
Fuente de Información: https://isc.sans.edu/
HT: #ransomware

Comentarios

Publicar un comentario