Beveiligingsonderzoekers observeren een toenemende exploitatie van regsvr32.exe, wat een binair Windows-leven van het land is, kort bekend als LOLbin. Sommige van de geanalyseerde malwarevoorbeelden behoren tot: Qbot en Lokibot, volgens Uptycs-onderzoekers.
Dreigingsactoren die Regsvr32 misbruiken
Wat is regsvr32? Het is een door Microsoft ondertekend opdrachtregelhulpprogramma waarmee gebruikers DLL-bestanden kunnen registreren en uitschrijven. Wanneer u een dergelijk bestand registreert, informatie wordt toegevoegd aan het register (of de centrale directory), zodat het bestand kan worden gebruikt door het besturingssysteem. Zo, andere programma's kunnen gemakkelijk DLL's gebruiken.
Maar nu lijkt het erop dat kwaadwillende actoren een manier hebben ontdekt om regsvr32 te misbruiken voor het laden van COM-scriptlets om DLL's uit te voeren. "Deze methode brengt geen wijzigingen aan in het register omdat het COM-object niet daadwerkelijk is geregistreerd maar wordt uitgevoerd,”Aldus de onderzoekers. De techniek staat ook bekend als de Squiblydoo-techniek, waardoor het voor hackers mogelijk wordt om de witte lijst van applicaties te omzeilen tijdens de uitvoeringsfase van de aanvalsketen.
Het onderzoeksteam heeft meer dan 500 voorbeelden met regsvr32.exe om .ocx-bestanden te registreren. Het is opmerkelijk dat "97% van deze voorbeelden behoorde tot kwaadaardige Microsoft Office-documenten zoals Excel-spreadsheetbestanden met de extensie .xlsb of .xlsm."
Meer technische details zijn beschikbaar in het oorspronkelijke rapport.