Redes governamentais ucranianas selecionadas permaneceram infectadas por um malware chamado OfflRouter desde 2015.
A Cisco Talos informou que suas descobertas são baseadas na análise de mais de 100 documentos confidenciais infectados com o vírus macro VBA e carregados na plataforma de escaneamento de malware VirusTotal desde 2018.
Mais de 20 desses documentos foram carregados desde 2022.
"Os documentos continham código VBA para baixar e executar um executável com o nome 'ctrlpanel.exe'", disse o pesquisador de segurança Vanja Svajcer.
O vírus ainda está ativo na Ucrânia e está causando o carregamento de documentos potencialmente confidenciais em repositórios de documentos publicamente acessíveis. Um aspecto marcante do OfflRouter é sua incapacidade de se espalhar por e-mail, necessitando que seja propagado por outros meios, como compartilhamento de documentos e mídias removíveis, incluindo pen drives USB contendo os documentos infectados.
"Seria necessário intervenção manual do usuário para enviar um documento infectado como anexo de e-mail", disse um pesquisador da Talos.
Isso poderia ser a razão pela qual o vírus permaneceu sob o radar por tanto tempo, já que não é muito barulhento.
"Só podemos especular sobre por que não há disseminação automatizada por e-mail.Dito isso, se o malware estivesse anexado a um documento enviado via e-mail, o vírus ainda tentaria infectar arquivos localizados em mídias removíveis," comenta o pesquisador.
Essas escolhas de design, intencionais ou não, disseram ter confinado a propagação do OfflRouter dentro das fronteiras da Ucrânia e a algumas organizações, escapando assim da detecção por quase 10 anos.
Atualmente, não se sabe quem é responsável pelo malware e não há indícios de que foi desenvolvido por alguém da Ucrânia.
Quem quer que seja, foi descrito como inventivo, mas inexperiente, devido ao mecanismo de propagação incomum e à presença de vários erros no código-fonte.
O OfflRouter foi anteriormente destacado pela MalwareHunterTeam já em maio de 2018 e novamente pela Computer Security Incident Response Team Eslováquia (CSIRT.SK) em agosto de 2021, detalhando documentos infectados carregados no site da Polícia Nacional da Ucrânia.
O modus operandi permaneceu praticamente inalterado, com documentos do Microsoft Word embutidos com macro VBA baixando um executável .NET denominado "ctrlpanel.exe", que então infecta todos os arquivos com a extensão .DOC (não .DOCX) encontrados no sistema e outras mídias removíveis com a mesma macro.
"A infecção percorre uma lista dos candidatos a documentos para infectar e usa um método inovador para verificar o marcador de infecção do documento para evitar múltiplos processos de infecção - a função verifica os metadados de criação do documento, adiciona os tempos de criação e verifica o valor da soma", disse Svajcer.
Se a soma for zero, o documento é considerado já infectado." Dito isso, o ataque torna-se bem-sucedido apenas quando as macros VBA estão ativadas.
A Microsoft, desde julho de 2022, tem bloqueado macros por padrão em documentos do Office baixados da internet, levando os atores de ameaças a procurarem outros caminhos iniciais de acesso.
Embora a medida preventiva da Microsoft limite o sucesso de tais ataques baseados em macro, a Cisco Talos disse à publicação que muitas organizações na região afetada, incluindo entidades governamentais, não estão usando versões atualizadas do Office.
"O principal problema que tentamos destacar não é que um vírus está ativo e afeta o Microsoft Office, mas que os usuários podem, sem saber, carregar documentos confidenciais em repositórios públicos", disse.
"Os usuários precisam verificar duas vezes a infecção por malware."
Outra função chave do malware é fazer modificações no Registro do Windows para garantir que o executável seja executado toda vez ao inicializar o sistema.
"O vírus só tem como alvo documentos com a extensão de nome de arquivo .DOC, a extensão padrão para os documentos OLE2, e não tentará infectar outras extensões de nome de arquivo", disse Svajcer.
"A extensão padrão de nome de arquivo de documento do Word para as versões mais recentes do Word é .DOCX, então poucos documentos serão infectados como resultado." Isso não é tudo.
Ctrlpanel.exe também está equipado para procurar por plugins potenciais (com a extensão .ORP) presentes em unidades removíveis e executá-los na máquina, o que implica que o malware está esperando que os plugins sejam entregues via drives USB ou CD-ROMs.
Por outro lado, se os plugins já estiverem presentes em um host, o OfflRouter cuida de codificá-los, copiar os arquivos para a pasta raiz da mídia removível anexada com a extensão de nome de arquivo .ORP, e manipulá-los para torná-los ocultos, de modo que não sejam visíveis através do Explorador de Arquivos ao conectá-los em outro dispositivo.
Uma grande incógnita é se o vetor inicial é um documento ou o módulo executável ctrlpanel.exe.
"A vantagem do vírus de dois módulos é que ele pode ser espalhado como um executável autônomo ou como um documento infectado", disse Svajcer.
Pode até ser vantajoso inicialmente se espalhar como um executável, pois o módulo pode ser executado de forma autônoma e definir as chaves do registro para permitir a execução do código VBA e a mudança dos formatos de arquivo salvos padrão para .DOC antes de infectar documentos.Dessa forma, a infecção pode ser um pouco mais furtiva.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...