セキュリティ研究者は、zippy32.exeの悪用が増加していることを観察しています。, これは、Windowsのオフザランドバイナリです, 略してLOLBinとして知られています. 分析されたマルウェアサンプルの一部は Qbot と ロキボット, Uptycsの研究者によると.
Regsvr32を悪用する脅威アクター
zippy32とは何ですか? これは、ユーザーがDLLファイルを登録および登録解除できるようにするMicrosoft署名のコマンドラインユーティリティです。. そのようなファイルを登録するとき, 情報がレジストリに追加されます (または中央ディレクトリ), ファイルをオペレーティングシステムで使用できるようにする. こちらです, 他のプログラムはDLLを簡単に使用できます.
しかし今、悪意のある攻撃者が、DLLを実行するためにCOMスクリプトレットをロードするためにzippy32を悪用する方法を発見したようです。. 「COMオブジェクトは実際には登録されていないが実行されるため、このメソッドはレジストリに変更を加えません。,」研究者は言った. この手法は、Squiblydoo手法としても知られています。, ハッカーが攻撃キルチェーンの実行フェーズ中にアプリケーションのホワイトリストをバイパスできるようにする.
研究チームは 500 zippy32.exeを使用して.ocxファイルを登録するサンプル. 「これらのサンプルの97%は、.xlsbまたは.xlsm拡張子を持つExcelスプレッドシートファイルなどの悪意のあるMicrosoftOfficeドキュメントに属していた」ことは注目に値します。
より技術的な詳細はで利用可能です 元のレポート.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: