OfflRouter vírus Ukrajnában
A Cisco Talos egy fenyegetésvadászat során olyan dokumentumokat fedezett fel, amelyek potenciálisan bizalmas információkat tartalmaztak, és amelyek Ukrajnából származtak. A dokumentumok rosszindulatú VBA-kódot tartalmaztak, ami arra utal, hogy csalétekként használhatják őket szervezetek megfertőzésére. A vizsgálat eredményei azt mutatták, hogy a rosszindulatú kód jelenléte egy ritka, több modulból álló vírus aktivitásának köszönhető, amely a .NET interop funkcionalitáson keresztül juttatja el a Word dokumentumokat megfertőzni. Az OfflRouter nevű vírus 2015 óta aktív Ukrajnában, és a VirusTotalhoz Ukrajnából feltöltött több mint 100 eredeti fertőzött dokumentum Ukrajnából történő feltöltése és a dokumentumok feltöltési dátuma alapján továbbra is aktív egyes ukrán szervezetek hálózatain. A fertőzési mechanizmus szokatlan megválasztása, a tesztelés nyilvánvaló hiánya és a kódban található hibák alapján úgy értékeljük, hogy az OfflRouter egy leleményes, de viszonylag tapasztalatlan fejlesztő munkája.
A szerző tervezési döntései valószínűleg nagyon kevés szervezetre korlátozhatták a vírus terjedését, miközben lehetővé tették, hogy hosszú ideig aktív és észrevétlen maradjon.
A rendszeres fenyegetésvadászat részeként a Cisco Talos figyeli a nyílt forráskódú adattárakba feltöltött fájlokat olyan potenciális csalétek után kutatva, amelyek kormányzati és katonai szervezeteket célozhatnak meg. A csalétkeket legitim dokumentumokból hozzák létre olyan tartalom hozzáadásával, amely rosszindulatú viselkedést vált ki, és amelyeket gyakran használnak a fenyegető szereplők.