Investigadores reportan la detección de un incremento en el uso del proceso regsvr32.exe a través de diversos documentos de Microsoft Office. Según el reporte, se han identificado variantes de malware tratando de ejecutar archivos .ocx en una técnica conocida como Squablydoo, los distribuidores de malware están utilizando esta técnica para propagar Qbot y Lokibot a través de un documento de Microsoft Office, es importante resaltar que regsvr32 es una utilidad de línea de comandos en el sistema Windows que permite a los usuarios registrar o cancelar el registro de DLL. Al registrar un archivo DLL, se agrega información al directorio central (Registro) para que pueda ser utilizada por el sistema.
Un informe del equipo de investigación de amenazas de la plataforma de análisis de seguridad Uptycs muestra que el uso de regsvr32.exe se ha aumentado durante los últimos meses, a través de varios formatos de documentos de office, pero principalmente archivos de Excel.
Los datos de telemetría recopilados de los clientes de Uptyck muestran que diciembre de 2021 fue cuando se registraron la mayoría de los incidentes de aumento de la herramienta residente de Windows, pero las altas tasas continuaron en 2022
Que es Qbot /Qaboot
Es un malware especialmente diseñado para recopilar información bancaria de sus víctimas. Está equipado con una variedad de funciones sofisticadas de evasión y robo de información, así como una funcionalidad similar a la de un malware tipo gusano y un fuerte mecanismo de persistencia.
Que es Lokibot
Es un malware de tipo troyano diseñado para el robo de información y credenciales de dispositivos Android y Windows, roba información y credenciales del navegador, como cuentas bancarias, correo electrónico, carteras de criptomonedas y de otras muchas aplicaciones. Además, cuenta con una función de captura de las pulsaciones del teclado y permite recibir comandos desde el centro de control del ciberdelincuente.
Técnica Squablydoo
los grupos de hacking pueden usar regsvr32 para cargar scriptlets COM y ejecutar archivos DLL, un método de hacking que no realiza cambios en el Registro ya que el objeto COM en realidad no se registra, sino que se ejecuta usando esta técnica, los actores de amenazas pueden evadir la lista blanca de aplicaciones durante la fase de ejecución de la cadena de eliminación del ataque
Recomendaciones.
- Monitorear las relaciones de proceso padre/hijo donde se ejecuta regsvr32 con el proceso padre en Word o Excel y de más aplicaciones de Microsoft Office.
- Un ataque puede ser identificado buscando ejecuciones de regsvr32.exe que cargan el scrobj.dll que ejecuta el scriptlet COM.
- Creación de reglas ATP para monitorear o bloquear la ejecucion de regsvr32.exe.
Casos de uso *:
- Prevención Phishing & Protección Anti-Spam
- Eventos desconocidos a nivel de malware
- Seguimiento de actividades de un posible ataque de día cero
- Network DoS
*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.
Para más información puede consultar las siguientes fuentes asociadas a la noticia:
- https://www.cibertip.com/ciberseguridad/cibercriminales-explotan-la-utilidad-de-microsoft-regsvr32-y-la-tecnica-squablydoo-para-hackear-redes-empresariales/
- https://support.microsoft.com/en-us/topic/how-to-use-the-regsvr32-tool-and-troubleshoot-regsvr32-error-messages-a98d960a-7392-e6fe-d90a-3f4e0cb543e5
- https://diarioinforme.com/qbot-el-malware-lokibot-vuelve-a-la-entrega-de-windows-regsvr32/
- https://www.cronup.com/top-malware-series-qbot-trojan/