Accueil > Nouvelles Cyber > Les acteurs de la menace exploitent le service Windows Regsvr32 pour diffuser des logiciels malveillants
CYBER NOUVELLES

Les acteurs de la menace exploitent le service Windows Regsvr32 pour diffuser des logiciels malveillants

Les acteurs de la menace exploitent le service Windows Regsvr32 pour diffuser des logiciels malveillants
Les chercheurs en sécurité ont observé une exploitation croissante de regsvr32.exe, qui est un binaire Windows vivant hors du pays, sous le nom de LOLBin. Certains des échantillons de logiciels malveillants analysés appartiennent à Qbot et Lokibot, selon les chercheurs d'Uptycs.




Acteurs menaçants abusant de Regsvr32

Qu'est-ce que regsvr32? Il s'agit d'un utilitaire de ligne de commande signé Microsoft permettant aux utilisateurs d'enregistrer et de désenregistrer des fichiers DLL.. Lorsque vous enregistrez un tel fichier, les informations sont ajoutées au Registre (ou le répertoire central), afin que le fichier puisse être utilisé par le système d'exploitation. De cette façon,, d'autres programmes peuvent facilement utiliser les DLL.

Mais maintenant, il semble que des acteurs malveillants aient découvert un moyen d'abuser de regsvr32 pour charger des scriptlets COM afin d'exécuter des DLL.. "Cette méthode n'apporte pas de modifications au registre car l'objet COM n'est pas réellement enregistré mais exécuté,» Les chercheurs. La technique est également connue sous le nom de technique Squiblydoo, permettant aux pirates de contourner la liste blanche des applications pendant la phase d'exécution de la chaîne de destruction de l'attaque.

L'équipe de recherche a observé plus de 500 exemples utilisant regsvr32.exe pour enregistrer des fichiers .ocx. Il est à noter que « 97 % de ces échantillons appartenaient à des documents Microsoft Office malveillants tels que des fichiers de feuille de calcul Excel portant les extensions .xlsb ou .xlsm ».

Plus de détails techniques sont disponibles dans le rapport initial.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord