El malware OfflRouter ha infectado algunas redes gubernamentales ucranianas desde 2015, según informes recientes. Cisco Talos ha descubierto más de 100 documentos confidenciales que contienen el virus macro VBA cargados en VirusTotal, lo que ha llevado al investigador de seguridad Vanja Svajcer a afirmar que ‘los documentos contenían código VBA para soltar y ejecutar un archivo con el nombre «ctrlpanel.exe«‘. El malware sigue activo en Ucrania y está potencialmente causando la subida de documentos confidenciales a repositorios públicamente accesibles.
A pesar de que OfflRouter no se propaga a través de correo electrónico, puede propagarse a través de otros medios, como compartir documentos y medios extraíbles, como las memorias USB que contienen los documentos infectados. Sin embargo, la propagación se ha limitado dentro de las fronteras de Ucrania y a algunas organizaciones debido a sus decisiones de diseño, lo que ha evitado su detección.
Aunque no se sabe quién es responsable del desarrollo del malware, se ha destacado su mecanismo de propagación innovador pero inexperto y la presencia de varios errores en el código fuente. OfflRouter ha sido detectado por MalwareHunterTeam en mayo de 2018 y por el Equipo de Respuesta a Incidentes de Seguridad Informática de Eslovaquia (CSIRT.SK) en agosto de 2021.
El malware se propaga a través de documentos de Microsoft Word con macro VBA incrustadas que sueltan un ejecutable .NET llamado «ctrlpanel.exe«, que infecta todos los archivos con la extensión .DOC (no .DOCX) encontrados en el sistema y en otros medios extraíbles con la misma macro. La infección itera a través de una lista de posibles documentos a infectar y usa un método innovador para verificar la marca de infección del documento para evitar múltiples procesos de infección.
Microsoft ha bloqueado las macros de forma predeterminada en los documentos de Office descargados de Internet desde julio de 2022, lo que obliga a los actores de amenazas a buscar otras formas de acceso inicial. OfflRouter también se encarga de hacer modificaciones en el Registro de Windows para asegurarse de que el archivo .exe se ejecute cada vez que se inicie el sistema.
Mientras que el virus solo apunta a documentos con la extensión de nombre de archivo .DOC, lo que hace que pocos documentos se infecten, Ctrlpanel.exe también está equipado para buscar posibles complementos (con la extensión .ORP) presentes en unidades extraíbles y ejecutarlos en la máquina. Es importante mencionar que uno de los principales desconocidos es si el vector inicial es un documento o el módulo ejecutable ctrlpanel.exe. La infección puede propagarse como un ejecutable independiente o como un documento infectado, lo que la hace más sigilosa.
Vía The Hacker News