Forskare vid Uptycs har rapporterat om den kraftiga ökningen av incidenter där cyberbrottslingar använder Windows Regsvr32 i sina attacker.
Hackare ses sprida trojaner som Lokibot och Qbot i sin verksamhet, genom att skapa bibliotek i Windows Regsvr32. De sägs börja den här operationen genom att sprida skadliga filer genom Microsoft-filer och så småningom nå Regsvr32 eftersom dess trafik till största delen är legitim och inte kommer att upptäckas av säkerhetsprogramvara.
Utnyttja LoLBins för att attackera
För att undvika upptäckt av säkerhetssystem använder hackare innovativa sätt att passera igenom. Och den senaste strävan som upptäckts av Uptycs-forskare är utlösande, eftersom den använder legitima mjukvaruverktyg för att komma in i ett målsystem och utföra önskade funktioner.
Enligt demses hackare använda LoLBins mycket i sina attackvektorer, som är legitima och inhemska verktyg som används av OS för att utföra olika datormiljöer. Microsofts Regsvr32 är en sådan sak, som hackare utnyttjar för att registrera och avregistrera önskade bibliotek.
Forskare noterade att hackare registrerar skadliga .OCX-filer i Regsvr32, som utför olika skadliga uppgifter. Dessa levereras till målsystemet genom specialgjorda Microsoft Office-dokument. I sin rapport säger Uptycs Threat Research-team att ha noterat
Och dessa filer packas upp för att installera trojaner, mestadels Qbot och Lokibot, som kommer med olika krafter för att stjäla data från det infekterade systemet. De första skadliga filerna som kör kampanjen levereras via Microsoft Excel, Microsoft Word, Rich Text Format-data eller Composite Document.
Även om det är svårt för säkerhetssystemen att kontrollera och särskilja trafiken av Regsvr32, kan manuella säkerhetsteam göra enligt nedan för att upptäcka de skadliga åtgärderna;
- Leta efter överordnade/underordnade processrelationer där Regsvr32 körs med överordnad process för Microsoft Word eller Microsoft Excel;
- Och det kan identifieras genom att leta efter Regsvr32-körningar som laddar scrobj.dll, som kör ett COM-skript.
