Оферта за отстъпка за множество лицензи
База данни за заплахи Задни врати CAPI Задна вратичка

CAPI Задна вратичка

До Mezo през Задни вратиг
Превод на:

Изследователи по киберсигурност разкриха нова кампания със зловреден софтуер, насочена към руския автомобилен сектор и сектора на електронната търговия. Атаката използва досега недокументиран .NET зловреден софтуер, идентифициран като CAPI Backdoor, който демонстрира усъвършенствани техники за избягване на заплахи и кражба на данни.

Вектор на инфекция: Фишинг и ZIP архиви

Веригата на заразяване започва с фишинг имейли, съдържащи ZIP архив. Анализът на ZIP артефакт от 3 октомври 2025 г. разкри фалшив документ на руски език, представящ се за известие, свързано със законодателството за данъка върху доходите. Този документ е придружен от файл с пряк път за Windows (LNK) със същото име като архива: Перерасчет заработной платы 01.10.2025.

Този LNK файл изпълнява backdoor DLL (adobe.dll) чрез легитимен двоичен файл на Microsoft, rundll32.exe, използвайки техника „живене извън земята“ (LotL), често използвана от сложни злонамерени лица.

Възможности на задната вратичка: Стелт и кражба на данни

След като се изпълни, CAPI Backdoor изпълнява множество задачи, като същевременно запазва скритостта си:

  • Проверки за администраторски права
  • Събира списък с инсталирани антивирусни продукти
  • Отваря документа-примамка като разсейване
  • Свързва се с отдалечен сървър (91.223.75[.]96), за да получава допълнителни команди

Получените команди позволяват на зловредния софтуер да:

  • Крадат идентификационни данни и данни от уеб браузъри като Google Chrome, Microsoft Edge и Mozilla Firefox
  • Заснемане на екранни снимки
  • Събиране на системна информация
  • Избройте съдържанието на папките и ги извлечете към отдалечения сървър

Механизми за избягване и постоянство

CAPI Backdoor използва няколко проверки, за да определи дали работи във виртуална среда или на реален хост. За постоянство използва два метода:

  • Създаване на планирана задача
  • Поставяне на LNK файл в папката за стартиране на Windows за автоматично стартиране на backdoor DLL, съхраняван в папката Windows Roaming
  • Тези мерки гарантират, че зловредният софтуер остава активен дори след рестартиране на системата.

Целева атрибуция и индикатори

Експертите свързват кампанията с руския автомобилен сектор поради използването на домейна carprlce.ru, вероятно представящ се за легитимния carprice.ru.

Самият зловреден софтуер е .NET DLL, проектиран предимно като „стейлър“, който осигурява устойчивост за продължаване на злонамерени операции, като същевременно извлича чувствителна информация.

Тенденция

TechBrowser

Зловреден софтуер за Mac, Рекламен софтуер, Потенциално нежелани програми
След оценка от изследователи по информационна сигурност, приложението TechBrowser е идентифицирано като попадащо в категорията на рекламния софтуер. Тази класификация се основава на способността му...

Най-гледан

Зареждане...