Malware OfflRouter Consegue Evitar Detecção na Ucrânia por Quase Uma Década
19 de Abril de 2024

Redes governamentais ucranianas selecionadas permaneceram infectadas por um malware chamado OfflRouter desde 2015.

A Cisco Talos informou que suas descobertas são baseadas na análise de mais de 100 documentos confidenciais infectados com o vírus macro VBA e carregados na plataforma de escaneamento de malware VirusTotal desde 2018.

Mais de 20 desses documentos foram carregados desde 2022.

"Os documentos continham código VBA para baixar e executar um executável com o nome 'ctrlpanel.exe'", disse o pesquisador de segurança Vanja Svajcer.

O vírus ainda está ativo na Ucrânia e está causando o carregamento de documentos potencialmente confidenciais em repositórios de documentos publicamente acessíveis. Um aspecto marcante do OfflRouter é sua incapacidade de se espalhar por e-mail, necessitando que seja propagado por outros meios, como compartilhamento de documentos e mídias removíveis, incluindo pen drives USB contendo os documentos infectados.

"Seria necessário intervenção manual do usuário para enviar um documento infectado como anexo de e-mail", disse um pesquisador da Talos.

Isso poderia ser a razão pela qual o vírus permaneceu sob o radar por tanto tempo, já que não é muito barulhento.

"Só podemos especular sobre por que não há disseminação automatizada por e-mail.Dito isso, se o malware estivesse anexado a um documento enviado via e-mail, o vírus ainda tentaria infectar arquivos localizados em mídias removíveis," comenta o pesquisador.

Essas escolhas de design, intencionais ou não, disseram ter confinado a propagação do OfflRouter dentro das fronteiras da Ucrânia e a algumas organizações, escapando assim da detecção por quase 10 anos.

Atualmente, não se sabe quem é responsável pelo malware e não há indícios de que foi desenvolvido por alguém da Ucrânia.

Quem quer que seja, foi descrito como inventivo, mas inexperiente, devido ao mecanismo de propagação incomum e à presença de vários erros no código-fonte.

O OfflRouter foi anteriormente destacado pela MalwareHunterTeam já em maio de 2018 e novamente pela Computer Security Incident Response Team Eslováquia (CSIRT.SK) em agosto de 2021, detalhando documentos infectados carregados no site da Polícia Nacional da Ucrânia.

O modus operandi permaneceu praticamente inalterado, com documentos do Microsoft Word embutidos com macro VBA baixando um executável .NET denominado "ctrlpanel.exe", que então infecta todos os arquivos com a extensão .DOC (não .DOCX) encontrados no sistema e outras mídias removíveis com a mesma macro.

"A infecção percorre uma lista dos candidatos a documentos para infectar e usa um método inovador para verificar o marcador de infecção do documento para evitar múltiplos processos de infecção - a função verifica os metadados de criação do documento, adiciona os tempos de criação e verifica o valor da soma", disse Svajcer.

Se a soma for zero, o documento é considerado já infectado." Dito isso, o ataque torna-se bem-sucedido apenas quando as macros VBA estão ativadas.

A Microsoft, desde julho de 2022, tem bloqueado macros por padrão em documentos do Office baixados da internet, levando os atores de ameaças a procurarem outros caminhos iniciais de acesso.

Embora a medida preventiva da Microsoft limite o sucesso de tais ataques baseados em macro, a Cisco Talos disse à publicação que muitas organizações na região afetada, incluindo entidades governamentais, não estão usando versões atualizadas do Office.

"O principal problema que tentamos destacar não é que um vírus está ativo e afeta o Microsoft Office, mas que os usuários podem, sem saber, carregar documentos confidenciais em repositórios públicos", disse.

"Os usuários precisam verificar duas vezes a infecção por malware."

Outra função chave do malware é fazer modificações no Registro do Windows para garantir que o executável seja executado toda vez ao inicializar o sistema.

"O vírus só tem como alvo documentos com a extensão de nome de arquivo .DOC, a extensão padrão para os documentos OLE2, e não tentará infectar outras extensões de nome de arquivo", disse Svajcer.

"A extensão padrão de nome de arquivo de documento do Word para as versões mais recentes do Word é .DOCX, então poucos documentos serão infectados como resultado." Isso não é tudo.

Ctrlpanel.exe também está equipado para procurar por plugins potenciais (com a extensão .ORP) presentes em unidades removíveis e executá-los na máquina, o que implica que o malware está esperando que os plugins sejam entregues via drives USB ou CD-ROMs.

Por outro lado, se os plugins já estiverem presentes em um host, o OfflRouter cuida de codificá-los, copiar os arquivos para a pasta raiz da mídia removível anexada com a extensão de nome de arquivo .ORP, e manipulá-los para torná-los ocultos, de modo que não sejam visíveis através do Explorador de Arquivos ao conectá-los em outro dispositivo.

Uma grande incógnita é se o vetor inicial é um documento ou o módulo executável ctrlpanel.exe.

"A vantagem do vírus de dois módulos é que ele pode ser espalhado como um executável autônomo ou como um documento infectado", disse Svajcer.

Pode até ser vantajoso inicialmente se espalhar como um executável, pois o módulo pode ser executado de forma autônoma e definir as chaves do registro para permitir a execução do código VBA e a mudança dos formatos de arquivo salvos padrão para .DOC antes de infectar documentos.Dessa forma, a infecção pode ser um pouco mais furtiva.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...