Les chercheurs en sécurité ont observé une exploitation croissante de regsvr32.exe, qui est un binaire Windows vivant hors du pays, sous le nom de LOLBin. Certains des échantillons de logiciels malveillants analysés appartiennent à Qbot et Lokibot, selon les chercheurs d'Uptycs.
Acteurs menaçants abusant de Regsvr32
Qu'est-ce que regsvr32? Il s'agit d'un utilitaire de ligne de commande signé Microsoft permettant aux utilisateurs d'enregistrer et de désenregistrer des fichiers DLL.. Lorsque vous enregistrez un tel fichier, les informations sont ajoutées au Registre (ou le répertoire central), afin que le fichier puisse être utilisé par le système d'exploitation. De cette façon,, d'autres programmes peuvent facilement utiliser les DLL.
Mais maintenant, il semble que des acteurs malveillants aient découvert un moyen d'abuser de regsvr32 pour charger des scriptlets COM afin d'exécuter des DLL.. "Cette méthode n'apporte pas de modifications au registre car l'objet COM n'est pas réellement enregistré mais exécuté,» Les chercheurs. La technique est également connue sous le nom de technique Squiblydoo, permettant aux pirates de contourner la liste blanche des applications pendant la phase d'exécution de la chaîne de destruction de l'attaque.
L'équipe de recherche a observé plus de 500 exemples utilisant regsvr32.exe pour enregistrer des fichiers .ocx. Il est à noter que « 97 % de ces échantillons appartenaient à des documents Microsoft Office malveillants tels que des fichiers de feuille de calcul Excel portant les extensions .xlsb ou .xlsm ».
Plus de détails techniques sont disponibles dans le rapport initial.