Los piratas informáticos utilizan activamente Windows Regsvr32 para evadir la detección

Los investigadores de Uptycs han informado sobre el fuerte aumento de incidentes en los que los ciberdelincuentes utilizan Windows Regsvr32 en el curso de sus ataques.

Se ve a los piratas informáticos propagar troyanos como Lokibot y Qbot en sus operaciones, mediante la creación de bibliotecas en Windows Regsvr32. Se dice que comienzan esta operación mediante la difusión de archivos maliciosos a través de los archivos de Microsoft y, finalmente, llegan a Regsvr32, ya que su tráfico es en su mayoría legítimo y no será detectado por el software de seguridad.

Índice de contenidos

    Aprovechando LoLBins para atacar

    Para evadir la detección por parte de los sistemas de seguridad, los piratas informáticos utilizan formas innovadoras de pasar. Y la búsqueda más reciente descubierta por los investigadores de Uptycs es desencadenante, ya que utiliza herramientas de software legítimas para ingresar a un sistema de destino y realizar las funciones deseadas.

    según ellosse ve a los piratas informáticos usando mucho LoLBins en sus vectores de ataque, que son utilidades legítimas y nativas utilizadas por el sistema operativo para realizar diversos entornos informáticos. Regsvr32 de Microsoft es una de esas cosas que los piratas informáticos están explotando para registrar y cancelar el registro de las bibliotecas deseadas.

    Los investigadores señalaron que los piratas informáticos están registrando archivos .OCX maliciosos en Regsvr32, que realizan varias tareas maliciosas. Estos se envían al sistema de destino a través de documentos de Microsoft Office especialmente diseñados. En su informe, el equipo de investigación de amenazas de Uptycs dice haber notado "más de 500 muestras de malware que usan Regsvr32.exe para registrar archivos .OCX".

    Y estos archivos se desempaquetan para instalar troyanos, principalmente Qbot y Lokibot, que vienen con varios poderes para robar datos del sistema infectado. Los archivos maliciosos iniciales que ejecutan la campaña se entregan a través de Microsoft Excel, Microsoft Word, datos en formato de texto enriquecido o documento compuesto.

    Aunque es difícil para los sistemas de seguridad verificar y diferenciar el tráfico de Regsvr32, los equipos de seguridad manuales pueden hacer lo siguiente para detectar las acciones maliciosas;

    • Busque relaciones de proceso primario/secundario donde se ejecuta Regsvr32 con el proceso primario de Microsoft Word o Microsoft Excel;
    • Y se puede identificar buscando ejecuciones de Regsvr32 que carguen scrobj.dll, que ejecuta un scriptlet COM.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir