Malware OfflRouter Consegue Evitar Detecção na Ucrânia por Quase Uma Década
19 de Abril de 2024

Redes governamentais ucranianas selecionadas permaneceram infectadas por um malware chamado OfflRouter desde 2015.

A Cisco Talos informou que suas descobertas são baseadas na análise de mais de 100 documentos confidenciais infectados com o vírus macro VBA e carregados na plataforma de escaneamento de malware VirusTotal desde 2018.

Mais de 20 desses documentos foram carregados desde 2022.

"Os documentos continham código VBA para baixar e executar um executável com o nome 'ctrlpanel.exe'", disse o pesquisador de segurança Vanja Svajcer.

O vírus ainda está ativo na Ucrânia e está causando o carregamento de documentos potencialmente confidenciais em repositórios de documentos publicamente acessíveis. Um aspecto marcante do OfflRouter é sua incapacidade de se espalhar por e-mail, necessitando que seja propagado por outros meios, como compartilhamento de documentos e mídias removíveis, incluindo pen drives USB contendo os documentos infectados.

"Seria necessário intervenção manual do usuário para enviar um documento infectado como anexo de e-mail", disse um pesquisador da Talos.

Isso poderia ser a razão pela qual o vírus permaneceu sob o radar por tanto tempo, já que não é muito barulhento.

"Só podemos especular sobre por que não há disseminação automatizada por e-mail.Dito isso, se o malware estivesse anexado a um documento enviado via e-mail, o vírus ainda tentaria infectar arquivos localizados em mídias removíveis," comenta o pesquisador.

Essas escolhas de design, intencionais ou não, disseram ter confinado a propagação do OfflRouter dentro das fronteiras da Ucrânia e a algumas organizações, escapando assim da detecção por quase 10 anos.

Atualmente, não se sabe quem é responsável pelo malware e não há indícios de que foi desenvolvido por alguém da Ucrânia.

Quem quer que seja, foi descrito como inventivo, mas inexperiente, devido ao mecanismo de propagação incomum e à presença de vários erros no código-fonte.

O OfflRouter foi anteriormente destacado pela MalwareHunterTeam já em maio de 2018 e novamente pela Computer Security Incident Response Team Eslováquia (CSIRT.SK) em agosto de 2021, detalhando documentos infectados carregados no site da Polícia Nacional da Ucrânia.

O modus operandi permaneceu praticamente inalterado, com documentos do Microsoft Word embutidos com macro VBA baixando um executável .NET denominado "ctrlpanel.exe", que então infecta todos os arquivos com a extensão .DOC (não .DOCX) encontrados no sistema e outras mídias removíveis com a mesma macro.

"A infecção percorre uma lista dos candidatos a documentos para infectar e usa um método inovador para verificar o marcador de infecção do documento para evitar múltiplos processos de infecção - a função verifica os metadados de criação do documento, adiciona os tempos de criação e verifica o valor da soma", disse Svajcer.

Se a soma for zero, o documento é considerado já infectado." Dito isso, o ataque torna-se bem-sucedido apenas quando as macros VBA estão ativadas.

A Microsoft, desde julho de 2022, tem bloqueado macros por padrão em documentos do Office baixados da internet, levando os atores de ameaças a procurarem outros caminhos iniciais de acesso.

Embora a medida preventiva da Microsoft limite o sucesso de tais ataques baseados em macro, a Cisco Talos disse à publicação que muitas organizações na região afetada, incluindo entidades governamentais, não estão usando versões atualizadas do Office.

"O principal problema que tentamos destacar não é que um vírus está ativo e afeta o Microsoft Office, mas que os usuários podem, sem saber, carregar documentos confidenciais em repositórios públicos", disse.

"Os usuários precisam verificar duas vezes a infecção por malware."

Outra função chave do malware é fazer modificações no Registro do Windows para garantir que o executável seja executado toda vez ao inicializar o sistema.

"O vírus só tem como alvo documentos com a extensão de nome de arquivo .DOC, a extensão padrão para os documentos OLE2, e não tentará infectar outras extensões de nome de arquivo", disse Svajcer.

"A extensão padrão de nome de arquivo de documento do Word para as versões mais recentes do Word é .DOCX, então poucos documentos serão infectados como resultado." Isso não é tudo.

Ctrlpanel.exe também está equipado para procurar por plugins potenciais (com a extensão .ORP) presentes em unidades removíveis e executá-los na máquina, o que implica que o malware está esperando que os plugins sejam entregues via drives USB ou CD-ROMs.

Por outro lado, se os plugins já estiverem presentes em um host, o OfflRouter cuida de codificá-los, copiar os arquivos para a pasta raiz da mídia removível anexada com a extensão de nome de arquivo .ORP, e manipulá-los para torná-los ocultos, de modo que não sejam visíveis através do Explorador de Arquivos ao conectá-los em outro dispositivo.

Uma grande incógnita é se o vetor inicial é um documento ou o módulo executável ctrlpanel.exe.

"A vantagem do vírus de dois módulos é que ele pode ser espalhado como um executável autônomo ou como um documento infectado", disse Svajcer.

Pode até ser vantajoso inicialmente se espalhar como um executável, pois o módulo pode ser executado de forma autônoma e definir as chaves do registro para permitir a execução do código VBA e a mudança dos formatos de arquivo salvos padrão para .DOC antes de infectar documentos.Dessa forma, a infecção pode ser um pouco mais furtiva.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...