Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere CAPI Backdoor

CAPI Backdoor

El Mezo el Portes del darrere
Traduir a:

Investigadors de ciberseguretat han descobert una nova campanya de programari maliciós dirigida als sectors de l'automòbil i el comerç electrònic russos. L'atac aprofita un programari maliciós .NET prèviament indocumentat, ara identificat com a CAPI Backdoor, que demostra tècniques avançades d'evasió i robatori de dades.

Vector d’infecció: suplantació d’identitat (phishing) i arxius ZIP

La cadena d'infecció comença amb correus electrònics de phishing que contenen un arxiu ZIP. L'anàlisi d'un artefacte ZIP datat el 3 d'octubre de 2025 va revelar un document esquer en rus que es feia passar per una notificació relacionada amb la legislació fiscal sobre la renda. Aquest document s'acompanya d'un fitxer de drecera de Windows (LNK) amb el mateix nom que l'arxiu: Перерасчет заработной платы 01.10.2025.

Aquest fitxer LNK executa la DLL de porta del darrere (adobe.dll) a través d'un binari legítim de Microsoft, rundll32.exe, emprant una tècnica de vida fora de la terra (LotL) que solen utilitzar els actors d'amenaces sofisticats.

Capacitats de porta del darrere: furt i robatori de dades

Un cop executat, CAPI Backdoor realitza diverses tasques mantenint la discreció:

  • Comprova els privilegis d'administrador
  • Recopila una llista dels productes antivirus instal·lats
  • Obre el document esquer com a distracció
  • Es connecta a un servidor remot (91.223.75[.]96) per rebre ordres addicionals

Les ordres rebudes permeten al programari maliciós:

  • Robar credencials i dades de navegadors web com ara Google Chrome, Microsoft Edge i Mozilla Firefox
  • Capturar captures de pantalla
  • Recopilar informació del sistema
  • Enumerar el contingut de la carpeta i exfiltrar-lo al servidor remot

Mecanismes d’evasió i persistència

CAPI Backdoor utilitza diverses comprovacions per determinar si s'executa en un entorn virtual o en un host real. Per a la persistència, utilitza dos mètodes:

  • Creació d'una tasca programada
  • Col·locar un fitxer LNK a la carpeta d'inici de Windows per iniciar automàticament la DLL de porta del darrere emmagatzemada a la carpeta Windows Roaming
  • Aquestes mesures garanteixen que el programari maliciós romangui actiu fins i tot després de reiniciar el sistema.

Atribució i indicadors d’objectius

Els experts vinculen la campanya amb el sector automobilístic rus a causa de l'ús del domini carprlce.ru, probablement fent-se passar pel legítim carprice.ru.

El programari maliciós en si és una DLL .NET dissenyada principalment com a lladre de programari, establint persistència per a operacions malicioses contínues mentre exfiltra informació sensible.

Tendència

Més vist

Carregant...