I ricercatori di sicurezza hanno osservato un crescente sfruttamento di regsvr32.exe, che è un binario Windows che vive fuori dalla terra, poco noto come LOLBin. Appartengono ad alcuni dei campioni di malware analizzati Qbot e Lokibot, secondo i ricercatori Uptycs.
Attori di minacce che abusano di Regsvr32
Cos'è regsvr32? È un'utilità della riga di comando firmata da Microsoft che consente agli utenti di registrare e annullare la registrazione di file DLL. Quando registri un tale file, le informazioni vengono aggiunte al Registro (o la directory centrale), in modo che il file possa essere utilizzato dal sistema operativo. Questo modo, altri programmi possono utilizzare facilmente le DLL.
Ma ora sembra che gli attori malintenzionati abbiano scoperto un modo per abusare di regsvr32 per caricare scriptlet COM per eseguire DLL. “Questo metodo non apporta modifiche al Registro in quanto l'oggetto COM non è effettivamente registrato ma eseguito,”I ricercatori hanno detto. La tecnica è anche conosciuta come la tecnica Squiblydoo, consentendo agli hacker di aggirare la whitelist delle applicazioni durante la fase di esecuzione della kill chain dell'attacco.
Il team di ricerca ha osservato più di 500 campioni utilizzando regsvr32.exe per registrare i file .ocx. È interessante notare che "il 97% di questi campioni apparteneva a documenti Microsoft Office dannosi come file di fogli di calcolo Excel con estensioni .xlsb o .xlsm".
Maggiori dettagli tecnici sono disponibili in il report originale.