QBOT, Lokibot Malware retorna à entrega do Windows Regsvr32

Os distribuidores de malware recorrem a um truco ms antiguo conhecido como Squablydoo para propagar Qbot e Lokibot a travs de um documento do Microsoft Office usando regsvr32.exe.

Um informe do equipamento de investigação de melhorias da plataforma de análise de segurança Uptycs mostra que o uso de regsvr32.exe foi disparado durante os últimos meses, em várias passagens de formatos de documentos, principalmente arquivos de Excel.

O enfoque repentino de esta utilização de lnea de comandos em particular se explica pelo hecho de que permite que os atores de ameaças eludam a lista de bloqueio de aplicativos que podra poner fin a la cadena de infeccin.

Os dados de telemetra recopilados dos clientes do Uptyck muestran que diciembre de 2021 foram registrados na prefeitura dos incidentes de abuso da herramienta do Windows, devido às altas temperaturas que continuaram em 2022.

Nmero de registros OCX detectados (Uptyck) ndice de contenidos

  1. O regresso de "Squablydoo"
  2. Mezclndose

O regresso de "Squablydoo"

O regsvr32 é um utilitário de lnea de comandos do Windows que pode ser utilizado para registrar e cancelar o registro de OLE (DLL e controles ActiveX) no registro.

Os agentes de ameaças que abusam da utilidade não podem realizar modificações no registro, para carregar scriptlets COM a partir de uma fonte remota através de DLL (scrobj.dll).

Para este propsito, use regsvr32 para registrar archivos OCX, que so os mdulos de software de propsito especial que podem chamar a lista de componentes para usar, como DLL.

Detecção de abuso de regsvr32 para registro OCX (Uptyck)

Esta técnica se chama "Squablydoo" e foi implementada em operações de lançamento de malware desde 2017. Nessas instâncias, os pesquisadores da ESET notaram o notário por primeira vez em uma campanha enfocada em objetivos no Brasil.

Na campanha atualmente em curso, os atores de atualizações usando Excel, Word, RTF e arquivos de documentos compilados com macros maliciosas que iniciaram o regsvr32 como um processo secundário.

Estes documentos geralmente são distribuídos em campanhas de phishing, mas também podem eliminar todas as campanhas de envenenamento de SEO "ciegos".

Mezclndose

O método anterior fornece uma boa evasiva para a carga do malware, porque o regsvr32 é uma herramienta do Windows que é utilizada para operações de rotina mltiples.

Como tal, é menos provável que as soluções de segurança atraem a amenaza e intervengan para poner fin a la cadena de infeccin.

Adems, o uso de scriptlets COM remotos permite que os atacantes carreguem malware sem arquivos; e deve-se que estas cargas sejam executadas a partir do documento, as posibilidades de detecção de menores.

Para ajudar os defensores, o Uptyck tem uma lista de indicadores de compromisso que pode ser usada para a lista de amenazas específicas neste repositório do GitHub.

  • O grupo de hackers 'ModifiedElephant' evadiu o descubrimiento durante una dcada
  • O novo plano de Internet de 100 MBps da AT&T é grátis para alguns clientes

Descubre ms contenido

Que é um amplificador integrado?

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

regsvr32 é uma herramienta da linha de comandos do sistema operacional Microsoft Windows que serve para registrador e quitar bibliotecas de enlace dinâmico e controles ActiveX do registro do Windows.

Qual é o comando Regsvr32?

Regsvr32 é uma utilidade de linha de comandos para registrador ou para anular o registro dos controles OLE, como controles DLL e ActiveX no Registro do Windows. Regsvr32 .exe é instalado no carpete %systemroot%\\System32 no Windows XP e nas versões anteriores do Windows.

Como registrar um OCX do CMD?

Escreva o comando "Regsvr32 ", onde está a rota e nome do arquivo completo do arquivo OCX que deseas registrador . Inclua "/s" no comando para executar o modo silencioso e evitar que o sistema mudo de mensagens. Pressione a tecla "Entrar".

Como registrar um arquivo OCX no Windows 10?

Inicie o servidor no modo VGA. Deve-se usar o comando Regsvr.exe, Regsvr16.exe (16 bits) ou Regsvr32.exe (32 bits) para registrar o arquivo OCX como global do sistema. Estes comandos incluem o kit de desarrollo quando Visual Basic ou Visual FoxPro está instalado.

Como executar uma DLL do CMD?

Clique no menu inicial. Escribe cmd no painel de búsqueda y no presiones Enter. Clique em clicar no ícone cmd e selecionar a opção Ejecutar como administrador. Nota: Remplaza "LaDLL" pelo nome real do arquivo DLL que precisa ser registrado.

Ir arriba