ده سال غفلت! بدافزار OfflRouter اوکراین را به خاک سیاه نشاند
برای تقریبا یک دهه، بدافزاری به نام OfflRouter تعدادی از شبکههای دولتی اوکراین را آلوده کرده است. محققان امنیتی با بررسی بیش از ۱۰۰ سند آلوده به ویروس ماکرو VBA که از سال ۲۰۱۸ به پلتفرم VirusTotal آپلود شده، به این نتیجه رسیدهاند. حتی بیش از ۲۰ مورد از این اسناد در سال ۲۰۲۲ آپلود شدهاند.
این بدافزار از طریق کد VBA درون اسناد Word، فایل اجرایی مخربی با نام ctrlpanel.exe را اجرا میکند. نکته قابل توجه این است که OfflRouter برخلاف بدافزارهای رایج، از طریق ایمیل منتشر نمیشود، بلکه با به اشتراک گذاری اسناد آلوده و استفاده از حافظههای جانبی آلوده مثل فلش مموریها تکثیر پیدا میکند.
به گفته یکی از محققان Talos، نیاز به دخالت کاربر برای ارسال فایل آلوده به عنوان ضمیمه ایمیل، باعث شده تا این بدافزار برای مدت طولانی زیر رادار پنهان بماند و سر و صدای زیادی به پا نکند.
بدافزار OfflRouter علی رغم اینکه از سال ۲۰۱۵ در حال فعالیت بوده، به خاطر شیوه عجیب انتشار آن، تا به حال ناشناخته باقی مانده است. این بدافزار به جای استفاده از ایمیل، خود را درون فایلهای ورد (با پسوند DOC) جاسازی میکند و با وصل شدن به دستگاههای ذخیرهسازی جانبی مثل فلش مموری، فایلهای مشابه را آلوده میکند.
هنوز مشخص نیست چه کسی سازنده این بدافزار است اما به دلیل اشتباهاتی که در کد آن وجود دارد، به نظر میرسد فردی مبتکر اما کمتجربه آن را نوشته است. نکته قابل توجه این است که روش کار این بدافزار در طول این سالها تقریبا بدون تغییر باقی مانده است.
این بدافزار با فریب کاربر، او را به باز کردن یک فایل ورد آلوده وادار میکند و سپس با اجرای یک فایل اجرایی مخفی، اقدام به آلوده کردن سایر فایلهای ورد موجود در سیستم و دستگاههای جانبی میکند. همین محدودیت در شیوه انتشار باعث شده است که OfflRouter عمدتا در مرزهای اوکراین و سازمانهای خاص باقی بماند و از دید عموم پنهان بماند.
این متن در مورد یک بدافزار به نام OfflRouter صحبت می کند که به دنبال آلوده کردن اسناد ورد است. این بدافزار از طریق دو روش قابل انتشار است:
۱. فایل های Word با پسوند .DOC: بدافزار به دنبال اسناد با این پسوند می گردد و اگر ماکروهای VBA در سیستم قربانی فعال باشند، سعی می کند با استفاده از آنها نفوذ کند.
مایکروسافت از جولای ۲۰۲۲ به صورت پیش فرض ماکروها را در اسناد دانلود شده از اینترنت مسدود کرده است، بنابراین مجرمان سایبری مجبورند راه های دیگری برای نفوذ اولیه پیدا کنند.
۲. فایل اجرایی (ctrlpanel.exe): این بدافزار می تواند به صورت یک فایل اجرایی مستقل نیز منتشر شود و با ایجاد تغییرات در رجیستری ویندوز، اجرای کدهای VBA و همچنین تغییر فرمت پیش فرض ذخیره سازی اسناد به .DOC را ممکن کند.
این بدافزار همچنین قابلیت جستجو و اجرای افزونه های مخرب (با پسوند .ORP) موجود در درایوهای قابل حمل را دارد. نکته مهم این است که این بدافزار عمدتا به دنبال آلوده کردن اسناد با پسوند .DOC است و فرمت های جدیدتر (.DOCX) را کمتر هدف قرار می دهد.
یکی از نکات کلیدی این است که هنوز مشخص نیست حمله اولیه از طریق یک سند آلوده صورت می گیرد یا فایل اجرایی. هر دو روش مزایا و معایب خود را دارند.
دیدگاهتان را بنویسید