Todas las Noticias en Pel√≠culas, Avances de Pel√≠culas y Rese√Īas.

Los piratas informáticos utilizan activamente Windows Regsvr32 para evadir la detección

Los investigadores de Uptycs han informado sobre el fuerte aumento de incidentes en los que los ciberdelincuentes utilizan Windows Regsvr32 en el curso de sus ataques.

Se ve a los piratas informáticos propagar troyanos como Lokibot y Qbot en sus operaciones, mediante la creación de bibliotecas en Windows Regsvr32. Se dice que comienzan esta operación mediante la difusión de archivos maliciosos a través de los archivos de Microsoft y, finalmente, llegan a Regsvr32, ya que su tráfico es en su mayoría legítimo y no será detectado por el software de seguridad.

Aprovechando LoLBins para atacar

Para evadir la detecci√≥n por parte de los sistemas de seguridad, los piratas inform√°ticos utilizan formas innovadoras de pasar. Y la b√ļsqueda m√°s reciente descubierta por los investigadores de Uptycs es desencadenante, ya que utiliza herramientas de software leg√≠timas para acceder a un sistema de destino y realizar las funciones deseadas.

seg√ļn elloslos piratas inform√°ticos utilizan mucho LoLBins en sus vectores de ataque, que son utilidades leg√≠timas y nativas utilizadas por el sistema operativo para realizar diversos entornos inform√°ticos. Regsvr32 de Microsoft es una de esas cosas que los piratas inform√°ticos est√°n explotando para registrar y cancelar el registro de las bibliotecas deseadas.

Los investigadores se√Īalaron que los piratas inform√°ticos est√°n registrando archivos .OCX maliciosos en Regsvr32, que realizan varias tareas maliciosas. Estos se env√≠an al sistema de destino a trav√©s de documentos de Microsoft Office especialmente dise√Īados. En su informe, el equipo de investigaci√≥n de amenazas de Uptycs dice haber notado “m√°s de 500 muestras de malware que usan Regsvr32.exe para registrar archivos .OCX”.

Y estos archivos se desempaquetan para instalar troyanos, principalmente Qbot y Lokibot, que vienen con varios poderes para robar datos del sistema infectado. Los archivos maliciosos iniciales que ejecutan la campa√Īa se entregan a trav√©s de Microsoft Excel, Microsoft Word, datos en formato de texto enriquecido o documento compuesto.

Recomendado:  Crypto Watch: Criptomonedas de $34 millones incautadas de un vendedor de la Dark Web, m√°quinas de inversi√≥n autom√°tica y Zuck Bucks

Aunque es difícil para los sistemas de seguridad verificar y diferenciar el tráfico de Regsvr32, los equipos de seguridad manuales pueden hacer lo siguiente para detectar las acciones maliciosas;

  • Busque relaciones de proceso primario/secundario donde se ejecuta Regsvr32 con el proceso primario de Microsoft Word o Microsoft Excel;
  • Y se puede identificar buscando ejecuciones de Regsvr32 que carguen scrobj.dll, que ejecuta un scriptlet COM.