{"id":5657,"date":"2022-02-18T15:42:56","date_gmt":"2022-02-18T20:42:56","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5657"},"modified":"2022-02-18T15:42:56","modified_gmt":"2022-02-18T20:42:56","slug":"vulnerabilidad-microsoft-windows-regsvr32","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/vulnerabilidad-microsoft-windows-regsvr32\/","title":{"rendered":"Vulnerabilidad Microsoft Windows REGSVR32"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5657\" class=\"elementor elementor-5657\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-35a437a elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"35a437a\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-db256aa\" data-id=\"db256aa\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-e9edc60 elementor-widget elementor-widget-text-editor\" data-id=\"e9edc60\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>Investigadores reportan la detecci\u00f3n de un incremento en el uso del proceso regsvr32.exe a trav\u00e9s de diversos documentos de Microsoft Office. Seg\u00fan el reporte, se han identificado variantes de malware tratando de ejecutar archivos .ocx en una t\u00e9cnica conocida como Squablydoo, los distribuidores de malware est\u00e1n utilizando esta t\u00e9cnica para propagar <a href=\"https:\/\/www.cronup.com\/top-malware-series-qbot-trojan\/\">Qbot <\/a>y <a href=\"https:\/\/diarioinforme.com\/qbot-el-malware-lokibot-vuelve-a-la-entrega-de-windows-regsvr32\/\">Lokibot <\/a>a trav\u00e9s de un documento de Microsoft Office, es importante resaltar que regsvr32 es una utilidad de l\u00ednea de comandos en el sistema Windows que permite a los usuarios registrar o cancelar el registro de DLL. Al registrar un archivo DLL, se agrega informaci\u00f3n al directorio central (Registro) para que pueda ser utilizada por el sistema.<\/p><p>Un informe del equipo de investigaci\u00f3n de amenazas de la plataforma de an\u00e1lisis de seguridad Uptycs muestra que el uso de regsvr32.exe se ha aumentado durante los \u00faltimos meses, a trav\u00e9s de varios formatos de documentos de office, pero principalmente archivos de Excel.<\/p><p>Los datos de telemetr\u00eda recopilados de los clientes de Uptyck muestran que diciembre de 2021 fue cuando se registraron la mayor\u00eda de los incidentes de aumento de la herramienta residente de Windows, pero las altas tasas continuaron en 2022<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-851dc93 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"851dc93\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-b87cef6\" data-id=\"b87cef6\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-e5602bb elementor-widget elementor-widget-image\" data-id=\"e5602bb\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Vulnerabilidad-Microsoft-Windows-REGSVR32-1.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-93e422d elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"93e422d\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-505e8ea\" data-id=\"505e8ea\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-55f6c32 elementor-widget elementor-widget-text-editor\" data-id=\"55f6c32\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><strong>Que es Qbot \/Qaboot<\/strong><\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-cc91779 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"cc91779\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1b512f0\" data-id=\"1b512f0\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-708aa54 elementor-widget elementor-widget-image\" data-id=\"708aa54\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Vulnerabilidad-Microsoft-Windows-REGSVR32-2.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Lokibot<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-f089b4b elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"f089b4b\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-4b9616a\" data-id=\"4b9616a\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-7376699 elementor-widget elementor-widget-text-editor\" data-id=\"7376699\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Es un malware especialmente dise\u00f1ado para recopilar informaci\u00f3n bancaria de sus v\u00edctimas. Est\u00e1 equipado con una variedad de funciones sofisticadas de evasi\u00f3n y robo de informaci\u00f3n, as\u00ed como una funcionalidad similar a la de un malware tipo gusano y un fuerte mecanismo de persistencia.<\/p><p><strong>Que es Lokibot<\/strong><\/p><p>Es un malware de tipo troyano dise\u00f1ado para el robo de informaci\u00f3n y credenciales de dispositivos Android y Windows, roba informaci\u00f3n y credenciales del navegador, como cuentas bancarias, correo electr\u00f3nico, carteras de criptomonedas y de otras muchas aplicaciones. Adem\u00e1s, cuenta con una funci\u00f3n de captura de las pulsaciones del teclado y permite recibir comandos desde el centro de control del ciberdelincuente.<\/p><p><strong>T\u00e9cnica Squablydoo<\/strong><\/p><p>los grupos de hacking pueden usar regsvr32 para cargar scriptlets COM y ejecutar archivos DLL, un m\u00e9todo de hacking que no realiza cambios en el Registro ya que el objeto COM en realidad no se registra, sino que se ejecuta usando esta t\u00e9cnica, los actores de amenazas pueden evadir la lista blanca de aplicaciones durante la fase de ejecuci\u00f3n de la cadena de eliminaci\u00f3n del ataque<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-311b401 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"311b401\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-88bb3b9\" data-id=\"88bb3b9\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-06524d7 elementor-widget elementor-widget-image\" data-id=\"06524d7\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Vulnerabilidad-Microsoft-Windows-REGSVR32-3.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">T\u00e9cnica Squablydoo<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-3b72281 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"3b72281\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1874939\" data-id=\"1874939\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-c6aae7c elementor-widget elementor-widget-text-editor\" data-id=\"c6aae7c\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><strong>Recomendaciones.<\/strong><\/p><ul><li>Monitorear las relaciones de proceso padre\/hijo donde se ejecuta regsvr32 con el proceso padre en Word o Excel y de m\u00e1s aplicaciones de Microsoft Office.<\/li><li>Un ataque puede ser identificado buscando ejecuciones de regsvr32.exe que cargan el scrobj.dll que ejecuta el scriptlet COM.<\/li><li>Creaci\u00f3n de reglas ATP para monitorear o bloquear la ejecucion de regsvr32.exe.<\/li><\/ul><p><strong>Casos de uso *:<\/strong><\/p><ul><li>Prevenci\u00f3n Phishing &amp; Protecci\u00f3n Anti-Spam<\/li><li>Eventos desconocidos a nivel de malware<\/li><li>Seguimiento de actividades de un posible ataque de d\u00eda cero<\/li><li>Network DoS<\/li><\/ul><p><em>*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.<\/em><\/p><p><strong>Para m\u00e1s informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<\/strong><\/p><ul><li><a href=\"https:\/\/www.cibertip.com\/ciberseguridad\/cibercriminales-explotan-la-utilidad-de-microsoft-regsvr32-y-la-tecnica-squablydoo-para-hackear-redes-empresariales\/\">https:\/\/www.cibertip.com\/ciberseguridad\/cibercriminales-explotan-la-utilidad-de-microsoft-regsvr32-y-la-tecnica-squablydoo-para-hackear-redes-empresariales\/<\/a><\/li><li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/how-to-use-the-regsvr32-tool-and-troubleshoot-regsvr32-error-messages-a98d960a-7392-e6fe-d90a-3f4e0cb543e5\">https:\/\/support.microsoft.com\/en-us\/topic\/how-to-use-the-regsvr32-tool-and-troubleshoot-regsvr32-error-messages-a98d960a-7392-e6fe-d90a-3f4e0cb543e5<\/a><\/li><li><a href=\"https:\/\/diarioinforme.com\/qbot-el-malware-lokibot-vuelve-a-la-entrega-de-windows-regsvr32\/\">https:\/\/diarioinforme.com\/qbot-el-malware-lokibot-vuelve-a-la-entrega-de-windows-regsvr32\/<\/a><\/li><li><a href=\"https:\/\/www.cronup.com\/top-malware-series-qbot-trojan\/\">https:\/\/www.cronup.com\/top-malware-series-qbot-trojan\/<\/a><\/li><\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Investigadores reportan la detecci\u00f3n de un incremento en el uso del proceso regsvr32.exe a trav\u00e9s de diversos documentos de Microsoft Office. Seg\u00fan el reporte, se han identificado variantes de malware tratando de ejecutar archivos .ocx en una t\u00e9cnica conocida como Squablydoo, los distribuidores de malware est\u00e1n utilizando esta t\u00e9cnica para propagar Qbot y Lokibot a [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5661,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5657"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5657"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5657\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5657"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5657"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}