Ransomware distribuído por spam usa arquivo ZIP com WSF ofuscado para baixar o executável Jaff, criptografar arquivos com extensão .wlu e direcionar vítimas a serviço de descriptografia via Tor.
| Componente | Campanha de ransomware Jaff distribuída por spam, com uso anterior de PDF contendo docm embutido e nova cadeia baseada em anexo ZIP com arquivo WSF. |
| Vetor | Mensagens de spam com assunto relacionado a imagem escaneada de Xerox WorkCentre entregam um ZIP anexado; o WSF contém JavaScript ofuscado que interpreta cadeias codificadas e tenta obter o executável do ransomware. |
| Impacto | Após execução e decodificação do binário baixado, o Jaff criptografa arquivos do usuário, acrescenta a extensão .wlu e apresenta nota de resgate com acesso ao serviço de descriptografia por Tor Browser. |
| Prioridade | Bloquear e inspecionar anexos ZIP, WSF, arquivos Office em arquivos compactados e tráfego de download iniciado por scripts ofuscados recebidos por e-mail. |
| Artefatos | Assunto observado: Scanned Image from a Xerox WorkCentre; extensão pós-criptografia: .wlu; assinatura citada: Suspicious Microsoft Office File Archive Mail Attachment. |
| Mitigação | Aplicar controles de gateway de e-mail, sandboxing, antivírus, anti-bot, IPS e bloqueio de execução de scripts Windows recebidos como anexo quando não houver necessidade de negócio. |
A campanha Jaff observada em junho de 2017 manteve o objetivo de extorsão por criptografia de arquivos, mas modificou parte relevante da cadeia de entrega. A atividade anterior era associada à distribuição pelo botnet Necurs por meio de arquivos PDF maliciosos que carregavam um documento docm embutido. Esse documento, por sua vez, baixava um executável codificado; após a decodificação, o ransomware era executado e passava a cifrar os arquivos do usuário. A mudança recente substituiu esse caminho por mensagens de spam contendo um arquivo ZIP anexado, dentro do qual havia um WSF com JavaScript ofuscado.
A alteração do vetor não muda a consequência final para a vítima, mas muda a superfície que precisa ser monitorada. Em vez de depender apenas da abertura de um PDF com documento Office embutido, a nova etapa inicial usa um script Windows dentro de um arquivo compactado. O script analisa cadeias codificadas, inclui URLs hardcoded e tenta baixar o executável do Jaff. Quando o ransomware é executado, os arquivos criptografados recebem a extensão .wlu, comportamento já associado a campanhas anteriores do Jaff. A nota de resgate também aparece na tela da vítima, e o serviço de descriptografia é acessado pelo Tor Browser.
Um ponto operacional importante é o volume observado em curto intervalo: em 28 de maio, foram detectadas 8.000 mensagens relacionadas à entrega do ransomware com o assunto Scanned Image from a Xerox WorkCentre. Esse tema reaproveita uma isca antiga de spam, já vista em campanhas de anos anteriores, e tenta explorar a familiaridade de usuários com notificações de scanner corporativo. A quantia exigida no caso descrito foi de 0,5486 BTC, aproximadamente 1.530 dólares em 7 de junho, valor indicado como inferior ao exigido em campanhas anteriores do Jaff. A coexistência de cadeias distintas, uma por PDF com docm e outra por WSF, sugere que a operação poderia estar sendo distribuída por mais de um operador ou modelo de serviço, sem que isso confirme, por si só, identidade de ator.
A cadeia baseada em WSF começa no e-mail. O usuário recebe uma mensagem de spam com tema de imagem escaneada, acompanhada de um arquivo ZIP. O uso de compactação reduz a exposição direta do script em alguns controles superficiais de e-mail e também pode fazer com que o anexo pareça um documento operacional comum. Ao abrir o conteúdo, o componente relevante é um arquivo WSF, formato que pode hospedar scripts Windows. O conteúdo descrito contém JavaScript ofuscado, construído para interpretar strings codificadas e recuperar endereços embutidos usados na tentativa de baixar o executável do Jaff.
A etapa de download é a ponte entre o anexo recebido e a carga de ransomware. O material analisado não lista os endereços, hashes, nomes de arquivo ou infraestrutura usados, portanto esses indicadores não devem ser inferidos. O que está confirmado é o comportamento: o script ofuscado tenta obter o executável do ransomware a partir de URLs hardcoded, e o binário baixado passa por decodificação antes de produzir o impacto final. Para defesa, isso desloca a investigação para eventos de execução de scripts iniciados a partir de diretórios de usuário, extração de ZIP recebido por e-mail, chamadas de rede feitas por mecanismos de script e criação subsequente de arquivos com extensão alterada.
Depois que o executável do Jaff entra em execução, a atividade deixa de ser apenas entrega e passa para impacto direto no endpoint. O ransomware criptografa arquivos do usuário e acrescenta .wlu aos nomes dos arquivos afetados. A nota de resgate exibida no sistema difere de campanhas anteriores, o que indica mudança no material de extorsão mesmo quando a extensão final permanece igual. O serviço de descriptografia, conforme descrito, exige acesso por Tor Browser. Essa dependência de Tor não deve ser tratada como indicador único de infecção, mas como parte do fluxo de extorsão apresentado à vítima após a criptografia.
A campanha também manteve, em paralelo, a entrega via Necurs com PDF e docm embutido. Essa simultaneidade é relevante porque um ambiente que bloqueie apenas um tipo de anexo continuará exposto ao outro. A hipótese de Jaff operar como ransomware como serviço decorre da presença de múltiplas cadeias de distribuição, mas deve ser tratada como avaliação condicionada. O dado defensivo mais sólido é que há pelo menos dois padrões de entrega a considerar: documentos encadeados a executável codificado e scripts WSF ofuscados dentro de ZIP.
A superfície primária é o ambiente de e-mail corporativo e qualquer estáção de trabalho onde usuários possam abrir anexos compactados e executar scripts Windows. O vetor descrito depende da interação com uma mensagem de spam que se apresenta como imagem escaneada de um equipamento Xerox WorkCentre. Organizações que usam scanners multifuncionais, fluxos de digitalização para e-mail ou notificações automáticas de documentos podem ter usuários mais propensos a aceitar a isca, especialmente quando o assunto da mensagem se parece com comunicação interna ou administrativa.
No endpoint, o risco está ligado à permissão de executar WSF ou JavaScript a partir de locais graváveis pelo usuário, como áreas de download, anexos extraídos e diretórios temporários. O contexto não indica exploração de vulnerabilidade, escalonamento de privilégio ou movimento lateral; o impacto descrito está concentrado na execução do script, no download do executável, na decodificação da carga e na criptografia de arquivos acessíveis ao processo. Portanto, a avaliação de exposição deve considerar privilégios do usuário, acesso a compartilhamentos mapeados, políticas de execução de script e capacidade de restauração por backup.
A campanha também atinge controles de perímetro que classificam anexos por tipo aparente. Um ZIP com WSF precisa ser inspecionado em profundidade, não apenas aceito por extensão externa. A cadeia anterior, baseada em PDF com docm embutido, amplia o escopo para documentos compostos e arquivos Office dentro de contêineres. Como os dois caminhos coexistem, a defesa deve cobrir anexos compactados, documentos Office em arquivo de e-mail e tentativas de download de executáveis iniciadas por conteúdo recebido por mensagem.
- Contas de usuário com permissão para abrir ZIP recebido por e-mail e executar
WSFficam expostas ao primeiro estágio da cadeia. - Gateways que não descompactam anexos para análise podem deixar passar o arquivo de script ofuscado dentro do ZIP.
- Estáções com acesso amplo a diretórios de usuário ou compartilhamentos podem ampliar o alcance da criptografia após a execução do ransomware.
- Ambientes que bloquearam apenas PDF com
docmainda precisam tratar a variação porWSF.
A investigação deve começar pela trilha de e-mail. Buscas por mensagens com o assunto Scanned Image from a Xerox WorkCentre, anexos ZIP e presença de WSF extraído ajudam a identificar usuários expostos. Como o assunto já havia sido usado em campanhas antigas de spam, a detecção não deve depender apenas da frase; ela precisa combinar assunto, tipo de anexo, estrutura do arquivo compactado e comportamento posterior no endpoint. Mensagens semelhantes com temas de scanner ou imagem digitalizada também devem ser tratadas como candidatos quando carregarem scripts dentro de ZIP.
No endpoint, a telemetria mais útil envolve criação e execução de WSF, processos de script iniciados a partir de diretórios de usuário, conexões de rede logo após a abertura de anexo e gravação de executáveis baixados por fluxo de script. O conteúdo recebido informa que o JavaScript ofuscado interpreta strings codificadas e tenta baixar o executável a partir de URLs hardcoded, mas não fornece os domínios. Portanto, a caça deve focar no padrão comportamental: script ofuscado recebido por e-mail, atividade de rede iniciada por esse script, arquivo executável resultante e mudança em massa de extensões de arquivos para .wlu.
A fase de impacto pode ser observada por eventos de modificação em grande volume, criação de arquivos com extensão .wlu, remoção ou substituição de nomes originais e exibição de nota de resgate. O aparecimento da nota, isoladamente, pode ocorrer depois que a criptografia já causou dano; por isso, sinais anteriores têm valor maior para contenção. Acesso a Tor Browser ou orientação para uso de Tor aparece como parte do processo de extorsão, mas a ausência desse tráfego não elimina a possibilidade de infecção, já que a vítima pode não seguir a instrução de pagamento.
- Mensagens com tema de scanner Xerox WorkCentre, anexos ZIP e arquivo
WSFinterno. - Execução de script Windows a partir de pasta de download, anexo extraído ou diretório temporário do usuário.
- Conexões externas iniciadas logo após abertura de anexo compactado, especialmente quando precedidas por script ofuscado.
- Criação ou renomeação em massa de arquivos com extensão
.wlu. - Detecções por assinaturas como
Suspicious Microsoft Office File Archive Mail Attachmente famíliasTrojan-ransom.Win32.Jaff.*quando disponíveis no ambiente.
A resposta defensiva deve priorizar bloqueio e inspeção de anexos no ponto de entrada. Arquivos ZIP recebidos por e-mail precisam ser descompactados para análise, com política específica para WSF e outros formatos de script. Quando esse tipo de arquivo não for necessário ao negócio, o bloqueio direto reduz a superfície sem depender de julgamento do usuário. Para anexos permitidos, sandboxing e detonação controlada ajudam a revelar o encadeamento entre script, tentativa de download e executável codificado, desde que o controle observe chamadas de rede e alterações de arquivos.
No endpoint, políticas de restrição de execução devem impedir scripts recebidos por e-mail de iniciarem processos ou baixarem binários. A contenção de uma suspeita deve incluir isolamento da estáção, preservação de artefatos do anexo, coleta de eventos de processo e rede, e verificação de arquivos com extensão .wlu. Como o impacto confirmado é criptografia de arquivos do usuário, backups testados e segregados continuam sendo controle crítico. A restauração deve ocorrer apenas depois de remover o executável, bloquear o vetor de entrada e confirmar que não há novas execuções de script associadas à campanha.
A mitigação também precisa cobrir a cadeia antiga com PDF e docm, porque o contexto indica que ela continuava ativa junto com a variação por WSF. Isso exige inspeção de documentos compostos, bloqueio de macros ou documentos habilitados para macro quando não forem necessários, análise de arquivos Office dentro de PDFs e arquivos compactados, e regras de correlação entre e-mail, extração de anexo, execução de script e download de binário. A defesa não deve se apoiar em um único indicador, pois o operador pode alterar assunto, nome de anexo ou infraestrutura sem mudar a lógica principal da cadeia.
Para equipes de resposta, a ordem prática é identificar mensagens recebidas, localizar usuários que abriram anexos, verificar execução de WSF, procurar atividade de download associada, buscar arquivos com .wlu e conter estáções afetadas. Em seguida, é necessário revisar regras de e-mail, políticas de execução, cobertura de antivírus, anti-bot e IPS, além de validar restauração de dados. Quando assinaturas específicas estiverem presentes no ambiente, como detecção de arquivo Office suspeito em anexo compactado e família Trojan-ransom.Win32.Jaff.*, elas devem ser usadas como parte de uma correlação maior, não como substituto para telemetria comportamental.
- Bloquear ou quarentenar anexos ZIP contendo
WSF, JavaScript ou arquivos de script Windows. - Inspecionar PDFs e documentos com
docmembutido, mantendo cobertura para a cadeia anterior de entrega. - Impedir execução de scripts originados de e-mail, downloads e diretórios temporários quando não houver justificativa operacional.
- Monitorar e bloquear downloads de executáveis iniciados por scripts ofuscados recebidos como anexo.
- Isolar estáções com criação de arquivos
.wlue restaurar dados somente após remoção da carga e validação de controles.
0 Comentários