Objet : Campagne de messages électroniques non sollicités de type Jaff : Installation et propagation d’un logiciel malveillant de type rançongiciel, voire, à terme, d’autres logiciels malveillants.

Publié par : pintejp | Mai 15, 2017

Objet : Campagne de messages électroniques non sollicités de type Jaff : Installation et propagation d’un logiciel malveillant de type rançongiciel, voire, à terme, d’autres logiciels malveillants.

Depuis le 11 mai 2017, le CERT-FR constate une nouvelle campagne de courriels malveillants contenant des pièces jointes au format PDF. Ce PDF contient un document embarqué au format DOCM contenant lui-même une macro malveillante lançant le téléchargement puis l’exécution du rançongiciel Jaff. Dans le cadre de cette campagne, et d’après les échantillons que le CERT-FR a observés, les URLs de téléchargement du rançongiciel Jaff se terminent avec les motifs suivants :

/f87346b
/77g643

Ces motifs peuvent donc être utilisés comme méthode de détection et/ou de blocage, dans la mesure des capacités techniques disponibles. Par ailleurs, plusieurs éditeurs ont déjà publié des indicateurs de compromission qui peuvent être utilisés afin de détecter Jaff.

Le CERT-FR attire l’attention sur le fait que cette campagne de distribution du rançongiciel Jaff n’est pas liée à celle du rançongiciel Wannacry dont le vecteur d’infection initial n’est toujours pas confirmé.

http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-011/index.html