Casa > Ciber Noticias > Actores de amenazas explotan el servicio de Windows Regsvr32 para entregar malware
CYBER NOTICIAS

Actores de amenazas explotan el servicio de Windows Regsvr32 para entregar malware

por   |  Last Update:  |  0 Comentarios  

Actores de amenazas explotan el servicio de Windows Regsvr32 para entregar malware
Los investigadores de seguridad han estado observando una creciente explotación de regsvr32.exe, que es un binario de Windows que vive fuera de la tierra, brevemente conocido como LOLBin. Algunas de las muestras de malware analizadas pertenecen a Qbot y Lokibot, según los investigadores de Uptycs.




Actores de amenazas que abusan de Regsvr32

¿Qué es regsvr32?? Es una utilidad de línea de comandos firmada por Microsoft que permite a los usuarios registrar y cancelar el registro de archivos DLL. Cuando registra un archivo de este tipo, se añade información al Registro (o el directorio central), para que el archivo pueda ser utilizado por el sistema operativo. De esta manera, otros programas pueden usar archivos DLL con facilidad.

Pero ahora parece que los actores malintencionados han descubierto una forma de abusar de regsvr32 para cargar scriptlets COM para ejecutar archivos DLL.. “Este método no realiza cambios en el Registro ya que el objeto COM en realidad no se registra sino que se ejecuta,”Dijeron los investigadores. La técnica también se conoce como la técnica Squablydoo., haciendo posible que los piratas eludan la lista blanca de aplicaciones durante la fase de ejecución de la cadena de eliminación de ataques.

El equipo de investigación ha observado más de 500 muestras usando regsvr32.exe para registrar archivos .ocx. Es de destacar que "el 97% de estas muestras pertenecían a documentos maliciosos de Microsoft Office, como archivos de hojas de cálculo de Excel con extensiones .xlsb o .xlsm".

Más detalles técnicos están disponibles en el informe original.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. JS_PLOWMET sin archivo de Windows Malware no deja rastro de intrusiones As cybercriminals become progressively sophisticated and innovative in their criminal...
  2. Guía localizador central Mac eliminación de virus Localizador central Mac Descripción de la aplicación y remoción. Qué hacer...
  3. ¿Cuáles son los smartphones más seguros Precio Puntuación total OS VPN CIFRADO DE PISTA DE BLOQUE DE HUELLAS 1...
  4. Corregir errores de DLL de archivos causado por el malware [2022] ¿Qué es DLL?? Un archivo DLL, o un archivo de biblioteca de vínculos dinámicos,...
  5. Search.CentralHubRadio.com redirección “Virus” - Cómo quitar completamente Este artículo ha sido creado con el fin de explicar más....
  6. Guía de eliminación central de Rush Mac Central Rush Mac es una aplicación potencialmente no deseada que puede....
  7. .Eliminación de virus ODIN (Locky ransomware) Locky ransomware sigue evolucionando. La nueva extensión .ODIN es....
  8. Eliminación de News-central.org ¿Qué es News-central?(.)org News-central.org es el nombre de un navegador...

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo