باب خلفي CAPI
كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف قطاعي السيارات والتجارة الإلكترونية في روسيا. يستغل الهجوم برمجية خبيثة .NET لم تُوثّق سابقًا، تُعرف الآن باسم CAPI Backdoor، وتُظهر تقنيات متطورة للتهرب وسرقة البيانات.
جدول المحتويات
ناقل العدوى: التصيد الاحتيالي وأرشيفات ZIP
تبدأ سلسلة العدوى برسائل بريد إلكتروني احتيالية تحمل أرشيف ZIP. كشف تحليل ملف ZIP مؤرخ في 3 أكتوبر/تشرين الأول 2025 عن وثيقة وهمية باللغة الروسية تنتحل صفة إشعار يتعلق بتشريعات ضريبة الدخل. يُرفق بهذه الوثيقة ملف اختصار Windows (LNK) يحمل نفس اسم الأرشيف: Перерасчет заработной платы 01.10.2025.
يقوم ملف LNK هذا بتنفيذ ملف DLL الخلفي (adobe.dll) من خلال ثنائي شرعي من Microsoft، rundll32.exe، باستخدام تقنية العيش من الأرض (LotL) التي يستخدمها عادةً الجناة المتطورون للتهديدات.
قدرات الباب الخلفي: التخفي وسرقة البيانات
بمجرد التنفيذ، يقوم CAPI Backdoor بأداء مهام متعددة مع الحفاظ على التخفي:
- التحقق من امتيازات المسؤول
- يقوم بتجميع قائمة بمنتجات مكافحة الفيروسات المثبتة
- يفتح المستند الوهمي كوسيلة تشتيت
- يتصل بخادم بعيد (91.223.75[.]96) لتلقي أوامر إضافية
تتيح الأوامر المستلمة للبرامج الضارة ما يلي:
- سرقة بيانات الاعتماد والبيانات من متصفحات الويب مثل Google Chrome وMicrosoft Edge وMozilla Firefox
- التقاط لقطات الشاشة
- جمع معلومات النظام
- إحصاء محتويات المجلد واستخراجها إلى الخادم البعيد
آليات التهرب والاستمرار
يستخدم CAPI Backdoor عدة عمليات تحقق لتحديد ما إذا كان يعمل في بيئة افتراضية أم على مضيف حقيقي. وللاستمرار، يستخدم طريقتين:
- إنشاء مهمة مجدولة
تحديد الأهداف والمؤشرات
يربط الخبراء الحملة بقطاع السيارات الروسي بسبب استخدام النطاق carprlce.ru، والذي من المحتمل أنه ينتحل صفة carprice.ru الشرعي.
البرمجيات الخبيثة نفسها عبارة عن ملف DLL .NET مصمم في المقام الأول ليكون بمثابة أداة سرقة، مما يؤدي إلى إنشاء استمرارية للعمليات الخبيثة المستمرة أثناء استخراج المعلومات الحساسة.
