Pesquisadores de segurança têm observado uma exploração crescente de regsvr32.exe, que é um binário do Windows vivendo fora da terra, brevemente conhecido como LOLBin. Algumas das amostras de malware analisadas pertencem a Qbot e Lokibot, de acordo com pesquisadores da Uptycs.
Atores de ameaças que abusam do Regsvr32
O que é regsvr32? É um utilitário de linha de comando assinado pela Microsoft que permite aos usuários registrar e cancelar o registro de arquivos DLL. Quando você registra tal arquivo, informações são adicionadas ao Registro (ou o diretório central), para que o arquivo possa ser usado pelo sistema operacional. Deste jeito, outros programas podem usar DLLs com facilidade.
Mas agora parece que os atores maliciosos descobriram uma maneira de abusar do regsvr32 para carregar scriptlets COM para executar DLLs. “Este método não faz alterações no Registro, pois o objeto COM não é realmente registrado, mas executado,”Disseram os pesquisadores. A técnica também é conhecida como a técnica Squablydoo, possibilitando que hackers ignorem a lista de permissões de aplicativos durante a fase de execução da cadeia de eliminação do ataque.
A equipe de pesquisa observou mais de 500 exemplos usando regsvr32.exe para registrar arquivos .ocx. Vale ressaltar que “97% dessas amostras pertenciam a documentos maliciosos do Microsoft Office, como arquivos de planilha do Excel com extensões .xlsb ou .xlsm”.
Mais detalhes técnicos estão disponíveis em o relatório original.