A campanha usa e-mails com PDF, documento DOCM incorporado e macros para transformar um arquivo TXT criptografado em executável malicioso antes da execução do ransomware.
| Componente | Ransomware JAFF distribuído pela botnet Necurs por meio de spam com anexo PDF e documento DOCM incorporado. |
| Vetor | O usuário recebe um PDF, abre o DOCM embutido, permite a abertura do documento e a macro baixa um TXT criptografado que é convertido em EXE malicioso. |
| Impacto | Execução do ransomware JAFF no endpoint após a cadeia de macro, com exigência de resgate de 2,047 BTC, cerca de US$ 3.800 na data da publicação. |
| Prioridade | Bloquear ou isolar anexos PDF com DOCM incorporado, restringir macros, detonar anexos em sandbox e caçar reutilização dos mesmos artefatos em caixas de e-mail. |
| Artefatos | PDF com DOCM incorporado, macro no documento, TXT criptografado baixado pela macro e EXE resultante que executa o JAFF. |
| Escala | Telemetria global observou até 40.000 e-mails em poucas horas, com taxa aproximada de 10.000 mensagens por hora. |
O JAFF surgiu em uma campanha de ransomware com distribuição em larga escala apoiada pela botnet Necurs. A atividade observada combina spam volumoso, abuso de documentos do Office com macro e uma sequência de transformação de arquivo projetada para atrasar a exposição do executável malicioso até as etapas finais da cadeia. Em poucas horas, sensores globais registraram até 40.000 e-mails associados à campanha, com ritmo aproximado de 10.000 mensagens por hora. Esse volume coloca o risco principal no controle de entrada de mensagens, na análise de anexos e na capacidade de correlacionar artefatos repetidos entre múltiplas caixas postais.
A campanha é tecnicamente relevante porque reaproveita um ecossistema de distribuição já associado a malware de grande escala. A Necurs havia ficado inativa durante o período de festas de 2016 e no início de 2017, retornando depois com atividade ligada ao Locky por meio de PDFs maliciosos. No caso do JAFF, a mesma lógica de distribuição por e-mail é usada para conduzir o usuário a um documento com macro, que baixa conteúdo criptografado e o converte no executável final. O impacto confirmado no contexto é a execução do ransomware e a apresentação de cobrança de resgate, sem evidência fornecida de vazamento de dados, movimentação lateral ou exploração de vulnerabilidade de rede.
A cadeia começa com um e-mail de spam contendo um anexo PDF. O PDF não é descrito como explorador de falha de leitor ou como vetor de execução automática; o papel técnico informado é carregar um arquivo DOCM incorporado. Quando o usuário abre o PDF, o documento incorporado solicita permissão para ser aberto. Essa etapa exige interação do usuário e cria uma condição importante para defesa: o evento não depende apenas do recebimento da mensagem, mas da abertura do anexo e da continuidade da interação com o arquivo do Office.
Depois da abertura do DOCM, a macro é o componente que desloca a execução para fora do documento. Ela baixa um arquivo TXT criptografado, em vez de recuperar diretamente um executável em claro. Em seguida, a própria macro descriptografa esse conteúdo e o transforma em um arquivo EXE malicioso. O executável resultante é o estágio que executa o ransomware JAFF. Essa escolha de empacotamento reduz a exposição direta do binário durante a entrega inicial e favorece detecções baseadas em comportamento, como macro criando arquivo executável, documento baixando conteúdo codificado e processo de Office participando de uma cadeia de gravação e execução.
A campanha também apresenta forte reutilização de arquivos. O mesmo conjunto de artefatos maliciosos foi visto em centenas de caixas de e-mail diferentes. Para defesa, esse detalhe permite correlação retrospectiva: um anexo ou documento identificado como malicioso em uma caixa postal deve ser procurado em todas as demais caixas do domínio, em quarentenas, em gateways de e-mail e em repositórios de mensagens. O valor do resgate observado foi de 2,047 BTC, estimado em cerca de US$ 3.800 na data da publicação, o que confirma a finalidade extorsiva da execução do JAFF.
A superfície mais exposta é composta por usuários que recebem e abrem anexos de e-mail, especialmente quando o ambiente permite documentos Office com macro ou não aplica inspeção profunda a PDFs que carregam objetos embutidos. Não há dado no contexto que limite a campanha a um país, setor, domínio ou versão específica de software. Por isso, a leitura defensiva deve focar no padrão de entrega e execução: mensagem de spam, PDF anexado, DOCM incorporado, macro ativa, download de arquivo TXT criptografado, descriptografia local e criação de executável.
Ambientes com política permissiva para macros, gateways que tratam PDFs apenas como documentos estáticos e endpoints sem bloqueio de criação de executáveis por processos de Office ficam mais expostos ao fluxo descrito. A ameaça não precisa ser apresentada como exploração de zero-day ou RCE, porque o contexto não sustenta esse enquadramento. O risco operacional vem da combinação de engenharia social, interação do usuário e cadeia de macro que prepara o binário final no endpoint.
- Usuários com acesso a e-mails externos e permissão para abrir anexos PDF recebidos por spam.
- Estáções que permitem abertura de DOCM embutido em PDF e execução de macros no documento.
- Gateways de e-mail que não correlacionam anexos reutilizados em grande escala entre várias caixas postais.
- Endpoints onde processos do Office conseguem baixar conteúdo, gravar arquivo executável e iniciar execução sem contenção.
A investigação deve começar no e-mail, porque a campanha observada depende de volume e reutilização de artefatos. Caixas postais, filas de quarentena e logs de gateway devem ser consultados em busca de mensagens com PDF anexado que apareçam em múltiplos destinatários, especialmente quando o mesmo arquivo ou o mesmo conjunto de arquivos se repete. A presença do DOCM incorporado é um pivô técnico importante: anexos PDF que encapsulam documentos habilitados para macro exigem tratamento diferente de PDFs comuns, pois atuam como embalagem para a etapa executável da cadeia.
No endpoint, a telemetria mais útil está no encadeamento de processos e no comportamento de arquivo. Um leitor de PDF abrindo ou extraindo um DOCM, um processo do Office executando macro, a criação de um arquivo TXT criptografado baixado da rede e a posterior geração de um EXE formam uma sequência coerente com a campanha. A detecção não precisa depender do nome JAFF no disco; o comportamento de transformação de TXT em executável por macro já é suficiente para priorizar isolamento e análise. Como os mesmos arquivos foram vistos em muitas caixas postais, hashes internos de anexos e documentos recuperados da quarentena podem apoiar varreduras retrospectivas, desde que não sejam tratados como lista completa de indicadores.
A telemetria de rede deve ser usada para identificar downloads disparados por processos de documento, mas o contexto não fornece domínios, IPs ou URLs. Assim, não há base para publicar indicadores de infraestrutura. Em vez disso, a defesa deve procurar padrões: requisições originadas de processos do Office logo após abertura de anexo, tráfego para recuperar conteúdo com extensão TXT ou tipo aparente de texto, e criação subsequente de executável no perfil do usuário ou em diretórios temporários. Esses sinais preservam o valor operacional sem inventar infraestrutura.
- Mensagens de spam com PDF anexado distribuídas em grande volume e com artefatos idênticos entre destinatários.
- PDF contendo DOCM incorporado e solicitação de abertura do documento pelo usuário.
- Processo do Office executando macro e iniciando download de conteúdo criptografado com aparência de TXT.
- Criação ou execução de EXE após descriptografia local feita pela macro.
- Aparecimento de nota ou página de resgate associada ao JAFF após a execução do binário.
A primeira resposta deve reduzir a exposição de e-mail e impedir a progressão da cadeia antes da execução do EXE. Gateways devem isolar mensagens com PDFs que carregam documentos Office incorporados, principalmente DOCM, e aplicar detonação em ambiente controlado antes da entrega ao usuário. Como a campanha reaproveita arquivos, a identificação de um anexo malicioso deve acionar busca ampla por cópias iguais em caixas postais, quarentenas, filas de entrega e endpoints que sincronizam anexos localmente.
No endpoint, controles de macro são centrais. Macros em documentos recebidos da internet devem ser bloqueadas ou colocadas sob política de aprovação restritiva. Processos do Office não devem ter liberdade para baixar conteúdo, descriptografar arquivos e criar executáveis sem gerar alerta de alta gravidade. A contenção deve incluir isolamento de máquinas que abriram o DOCM, coleta de árvore de processos, preservação de anexos e verificação de arquivos criados no intervalo entre a abertura do documento e a execução do ransomware.
Após contenção, a validação deve confirmar se houve apenas entrega bloqueada, execução parcial da macro ou execução completa do JAFF. Quando houver execução do ransomware, a prioridade passa a ser preservar evidências, identificar o escopo de arquivos afetados, impedir propagação por compartilhamentos acessíveis ao usuário e acionar restauração a partir de cópias confiáveis. O contexto não sustenta afirmar vazamento ou roubo de dados; portanto, a resposta deve se concentrar na execução do ransomware, na cobrança de resgate observada e na redução de reincidência pelo mesmo vetor de anexo.
- Quarentenar PDFs com DOCM incorporado e revisar entregas já feitas a múltiplos destinatários.
- Bloquear macros em documentos provenientes de e-mail externo ou exigir política restritiva de execução.
- Alertar para processos do Office que baixam arquivos, criam TXT criptografado, geram EXE ou iniciam executáveis.
- Isolar endpoints com execução confirmada ou suspeita do JAFF e coletar árvore de processos e artefatos associados.
- Fazer busca retrospectiva por anexos e documentos reutilizados em caixas postais, gateways e armazenamento local dos usuários.
0 Comentários