Los investigadores de seguridad han estado observando una creciente explotación de regsvr32.exe, que es un binario de Windows que vive fuera de la tierra, brevemente conocido como LOLBin. Algunas de las muestras de malware analizadas pertenecen a Qbot y Lokibot, según los investigadores de Uptycs.
Actores de amenazas que abusan de Regsvr32
¿Qué es regsvr32?? Es una utilidad de línea de comandos firmada por Microsoft que permite a los usuarios registrar y cancelar el registro de archivos DLL. Cuando registra un archivo de este tipo, se añade información al Registro (o el directorio central), para que el archivo pueda ser utilizado por el sistema operativo. De esta manera, otros programas pueden usar archivos DLL con facilidad.
Pero ahora parece que los actores malintencionados han descubierto una forma de abusar de regsvr32 para cargar scriptlets COM para ejecutar archivos DLL.. “Este método no realiza cambios en el Registro ya que el objeto COM en realidad no se registra sino que se ejecuta,”Dijeron los investigadores. La técnica también se conoce como la técnica Squablydoo., haciendo posible que los piratas eludan la lista blanca de aplicaciones durante la fase de ejecución de la cadena de eliminación de ataques.
El equipo de investigación ha observado más de 500 muestras usando regsvr32.exe para registrar archivos .ocx. Es de destacar que "el 97% de estas muestras pertenecían a documentos maliciosos de Microsoft Office, como archivos de hojas de cálculo de Excel con extensiones .xlsb o .xlsm".
Más detalles técnicos están disponibles en el informe original.