Операторы Qbot и Lokibot опять используют Regsvr32 для заражения Windows

Операторы Qbot и Lokibot опять используют Regsvr32 для заражения Windows

Операторы Qbot и Lokibot опять используют Regsvr32 для заражения Windows

Операторы Qbot и Lokibot вспомнили старый метод распространения вредоносных программ, известный как Squiblydoo. Его суть заключается в использовании документов Microsoft Office и процесса regsvr32.exe.

О новой активности киберпреступников рассказала команда исследователей из Uptycs. По словам специалистов, использование regsvr32.exe в атаках демонстрирует скачок за последние 2-3 месяца. Чаще всего атакующие задействуют файлы Excel, но встречаются и другие форматы документов.

Зачем злоумышленникам понадобилась утилита regsvr32.exe? Цепочка заражения, используемая в последних кампаниях Qbot и Lokibot, задействует regsvr32.exe для обхода списков блокировки, которые могут сорвать атаку. Отметим, что regsvr32 отвечает в системе Windows за регистрацию OLE, DLL и элементов управления ActiveX.

Киберпреступники используют утилиту для загрузки COM-скриптлетов из удалённого источника с помощью библиотеки scrobj.dll. В этой схеме regsvr32 помогает им зарегистрировать OCX-файлы. Такая техника получила имя «Squiblydoo», злоумышленники используют её с 2017 года.

В кампаниях Qbot и Lokibot атакующие прибегают к документам форматов Excel, Word, RTF и т. п. Они отличаются наличием вредоносных макросов, которые запускают regsvr32 в качестве дочернего процесса.

Поскольку regsvr32 представляют собой «родной» инструмент Windows, у преступников появляется отличная возможность избежать детектирования защитными решениями. Эксперты опубликовали индикаторы компрометации, которые помогут организациям расследовать кибератаки.

В Иркутской области школьника удалили с ЕГЭ за умные очки с камерой

В Иркутской области выпускник решил зайти на ЕГЭ с технологическим апгрейдом и быстро пожалел об этом. Школьника удалили с экзамена после того, как наблюдатели заметили камеру в его умных очках.

Об этом сообщает телеграм-канал Baza. По данным издания, одиннадцатиклассник пришел на экзамен в очках, которые внешне выглядели как обычная оптика.

Однако наблюдатели, контролировавшие проведение ЕГЭ, заметили встроенную камеру. После этого у школьника забрали бланки, работу аннулировали, а самого выпускника вывели из аудитории.

Официальной причиной удаления указали использование средств связи. Для ЕГЭ это жесткое нарушение: на экзамене запрещены телефоны, умные устройства, камеры, наушники и любые гаджеты, которые могут использоваться для передачи или получения информации.

Самое неприятное для выпускника — пересдать экзамен он сможет только в следующем году.

В региональной комиссии этот случай уже назвали одним из самых технологичных за всю историю проведения ЕГЭ в Иркутской области.

История показывает, что экзаменационные аудитории постепенно превращаются в поле боя не только со шпаргалками, но и с носимыми гаджетами. Если раньше наблюдатели искали телефоны в карманах и записки в рукавах, теперь приходится внимательно смотреть даже на очки.

RSS: Новости на портале Anti-Malware.ru