OfflRouter è un virus multi-modulo, attivo dal 2015, che ha recentemente attirato l’attenzione per aver indotto gli utenti in Ucraina a caricare accidentalmente documenti confidenziali su VirusTotal. Scoperto da Cisco Talos durante un’esercitazione di caccia alle minacce, questo virus sfrutta una combinazione di codice VBA e moduli eseguibili per infettare documenti Word, rendendoli veicoli per la diffusione di malware.
Come funziona OfflRouter
OfflRouter inizia la sua attività infettiva generando codice VBA tramite un modulo .NET, il quale si attiva automaticamente all’apertura di documenti Word infetti. Il processo di infezione include modifiche ai documenti che permettono al virus di eseguire autonomamente ogni volta che il documento viene aperto. Gli elementi chiave dell’infezione includono:
Infezione dei Documenti: OfflRouter mira specificamente ai file con estensione .doc, un formato meno comune rispetto ai più recenti .docx, il che limita la sua diffusione ma aumenta la furtività.
Generazione del Codice VBA: Il virus utilizza un approccio innovativo per generare il codice VBA, che include componenti binari dell’eseguibile ctrlpanel.exe mischiati a stringhe codificate, complicando il rilevamento da parte degli antivirus.
Persistenza: OfflRouter tenta di garantirsi la persistenza configurando il registro di sistema per eseguirsi all’avvio di Windows, sebbene alcune imperfezioni nella programmazione limitino questa funzionalità.
Impatto e diffusione
Nonostante la sua presenza prolungata, OfflRouter sembra confinato principalmente in Ucraina, dovuto sia alla specificità linguistica dei documenti infetti sia alle sue modalità di trasmissione, che includono la condivisione di documenti tramite dispositivi di memorizzazione rimovibili. Questo confinamento geografico e l’assenza di un meccanismo di diffusione via email hanno impedito una diffusione più vasta del virus.
Problemi emergenti
Un aspetto particolarmente preoccupante è la facilità con cui i documenti infetti possono essere caricati su piattaforme pubbliche come VirusTotal, esponendo involontariamente informazioni confidenziali. Questo pone seri interrogativi sulla sicurezza dei dati e sulla consapevolezza degli utenti riguardo alle minacce informatiche.
Il caso di OfflRouter evidenzia la necessità di una vigilanza costante nel monitoraggio delle minacce informatiche e nell’educazione degli utenti sui rischi associati all’apertura di documenti di provenienza sospetta. Le organizzazioni devono implementare politiche di sicurezza robuste e assicurarsi che i loro sistemi siano regolarmente aggiornati per difendersi contro virus simili a OfflRouter.
