Οι κακόβουλοι χρήστες έχουν στραφεί και πάλι σε ένα παλαιότερο τέχνασμα γνωστό ως Squiblydoo για τη διάδοση των Qbot και Lokibot, μέσω εγγράφου του Microsoft Office χρησιμοποιώντας το regsvr32.exe.
Δείτε επίσης: LokiBot: Η CISA προειδοποιεί για αύξηση της δραστηριότητας του malware
Μια αναφορά από την ερευνητική ομάδα απειλών της πλατφόρμας αναλύσεων ασφαλείας Uptycs, δείχνει ότι η χρήση του regsvr32.exe έχει αυξηθεί τους τελευταίους δύο μήνες, μέσω διαφόρων μορφών εγγράφων αλλά κυρίως αρχείων Excel.
Η ξαφνική εστίαση σε αυτό το συγκεκριμένο βοηθητικό πρόγραμμα της γραμμής εντολών, εξηγείται από το γεγονός ότι επιτρέπει στους κακόβουλους χρήστες να παρακάμπτουν τη λίστα αποκλεισμού εφαρμογών, οι οποίες θα μπορούσαν να σταματήσουν την αλυσίδα μόλυνσης.
Τα δεδομένα τηλεμετρίας που συλλέχθηκαν από πελάτες της Uptyck, δείχνουν ότι ο Δεκέμβριος του 2021 κατέγραψε τα περισσότερα περιστατικά κατάχρησης εργαλείων των Windows, αλλά τα υψηλά ποσοστά συνεχίστηκαν και το 2022.
Το regsvr32 είναι ένα βοηθητικό πρόγραμμα της γραμμής εντολών των Windows, που χρησιμοποιείται για την εγγραφή και την κατάργηση της καταχώρισης OLE (DLL και στοιχεία ελέγχου ActiveX) στο μητρώο.
Δείτε ακόμα: Το Qbot malware χρειάζεται μόνο 30 λεπτά για να υποκλέψει πληροφορίες
Οι φορείς απειλών κάνουν κατάχρηση του βοηθητικού προγράμματος όχι για την πραγματοποίηση τροποποιήσεων μητρώου, αλλά για τη φόρτωση scriptlet COM από μια απομακρυσμένη πηγή χρησιμοποιώντας αρχεία DLL (scrobj.dll).
Για το σκοπό αυτό, χρησιμοποιούν το regsvr32 για την εγγραφή αρχείων OCX, τα οποία είναι ενότητες λογισμικού ειδικού σκοπού, που μπορούν να καλέσουν έτοιμα στοιχεία όπως αρχεία DLL.
Αυτή η τεχνική ονομάζεται “Squiblydoo” και έχει χρησιμοποιηθεί σε λειτουργίες απόθεσης κακόβουλου λογισμικού από το 2017. Στην τρέχουσα καμπάνια, οι hackers χρησιμοποιούν αρχεία Excel, Word, RTF και σύνθετων εγγράφων με κακόβουλες μακροεντολές που ξεκινούν τη διαδικασία regsvr32.
Αυτά τα έγγραφα συνήθως διανέμονται μέσω εκστρατειών phishing, αν και μπορούν επίσης να παραδοθούν μέσω επιθέσεων “blind” SEO poisoning.
Η παραπάνω μέθοδος παρέχει καλή αποφυγή για το ωφέλιμο φορτίο κακόβουλου λογισμικού, επειδή το regsvr32 είναι ένα εργαλείο των Windows που χρησιμοποιείται για πολλαπλές λειτουργίες ρουτίνας.
Δείτε επίσης: QBot malware: Η Microsoft αναλύει τα δομικά στοιχεία των επιθέσεων
Ως εκ τούτου, οι λύσεις ασφαλείας είναι λιγότερο πιθανό να εντοπίσουν την απειλή και να παρέμβουν για να τερματίσουν την αλυσίδα μόλυνσης.
Επίσης, η χρήση απομακρυσμένων scriptlet COM επιτρέπει στους εισβολείς να φορτώνουν κακόβουλο λογισμικό χωρίς αρχεία. Καθώς αυτά τα ωφέλιμα φορτία εκτελούνται μέσα από το έγγραφο, οι πιθανότητες εντοπισμού τους είναι μικρότερες.