Décryptage du Malware OfflRouter

Depuis 2015, certains réseaux gouvernementaux ukrainiens sont affectés par un logiciel malveillant nommé OfflRouter. Ce malware ne se propage pas via des courriels, il nécessite un transfert manuel par le biais de documents partagés ou de supports amovibles comme les clés USB contenant les documents infectés. Sa propagation restreinte à l’intérieur de l’Ukraine a permis à ce malware de rester sous les radars pendant presque une décennie.

Analyse Technique et Propagation

OfflRouter intègre des macros VBA dans des documents Microsoft Word, qui déposent ensuite un exécutable nommé « ctrlpanel.exe ». Ce fichier cible spécifiquement les documents avec l’extension .DOC, une forme plus ancienne par rapport au .DOCX utilisé dans les versions récentes de Word, ce qui limite son potentiel de propagation.

La méthode de propagation est particulièrement intéressante : il vérifie les métadonnées de création des documents pour éviter de multiples infections du même fichier. Si la somme des métadonnées de création est zéro, le fichier est considéré comme déjà infecté. Cela démontre une ingéniosité certaine, bien que le code source contienne des erreurs qui suggèrent un manque d’expérience du créateur de ce malware.

Pour imaginer, imaginez OfflRouter comme un « virus écologique » qui évite de gaspiller ses « ressources » en réinfectant les mêmes documents. Une efficacité qui, malheureusement dans ce cas, sert des desseins malveillants.

Microsoft a bloqué par défaut l’exécution des macros dans les documents Office téléchargés d’Internet depuis juillet 2022, poussant les acteurs de menaces à chercher d’autres moyens pour infecter les machines.

Actions et Préventions

Il est crucial de désactiver l’exécution automatique des macros dans les paramètres de Microsoft Office pour tous les utilisateurs. En outre, l’usage prudent des supports amovibles et la vérification systématique des fichiers provenant de sources externes sont indispensables pour se prémunir contre ce type d’infection.

Cet incident met en lumière la nécessité d’une vigilance constante et d’une mise à jour régulière des pratiques de cybersécurité, pour se protéger contre des menaces qui évoluent constamment.