Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka CAPI Backdoor

CAPI Backdoor

V roce Mezo v roce Zadní vrátka
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou malwarovou kampaň zaměřenou na ruský automobilový a e-commerce sektor. Útok využívá dříve nezdokumentovaný malware .NET, nyní identifikovaný jako CAPI Backdoor, který demonstruje pokročilé techniky obcházení a krádeže dat.

Vektor infekce: Phishing a ZIP archivy

Řetězec infekce začíná phishingovými e-maily obsahujícími ZIP archiv. Analýza ZIP artefaktu ze dne 3. října 2025 odhalila falešný dokument v ruštině, který se vydával za oznámení týkající se legislativy o dani z příjmu. K tomuto dokumentu je přiložen soubor zástupce systému Windows (LNK) se stejným názvem jako archiv: Перерасчет заработной платы 01.10.2025.

Tento soubor LNK spouští backdoor DLL (adobe.dll) prostřednictvím legitimního binárního souboru rundll32.exe od společnosti Microsoft s využitím techniky „živící mimo zemi“ (LotL), kterou běžně používají sofistikovaní útočníci.

Možnosti zadních vrátek: Stealth a krádež dat

Po spuštění CAPI Backdoor provádí několik úkolů a zároveň si zachovává nenápadnost:

  • Kontroluje oprávnění správce
  • Shromáždí seznam nainstalovaných antivirových produktů
  • Otevře dokument s návnadou jako rozptýlení
  • Připojuje se ke vzdálenému serveru (91.223.75[.]96) pro příjem dalších příkazů.

Přijaté příkazy umožňují malwaru:

  • Krádež přihlašovacích údajů a dat z webových prohlížečů, jako jsou Google Chrome, Microsoft Edge a Mozilla Firefox
  • Pořizování snímků obrazovky
  • Shromažďování systémových informací
  • Vyjmenujte obsah složky a exfiltrujte ho na vzdálený server

Mechanismy úniku a vytrvalosti

Backdoor CAPI používá několik kontrol k určení, zda běží ve virtuálním prostředí nebo na reálném hostiteli. Pro perzistenci používá dvě metody:

  • Vytvoření naplánované úlohy
  • Umístění souboru LNK do složky Po spuštění systému Windows pro automatické spuštění knihovny DLL backdoor uložené ve složce Windows Roaming
  • Tato opatření zajišťují, že malware zůstane aktivní i po restartu systému.

    • Cílová atribuce a ukazatele

    Odborníci spojují kampaň s ruským automobilovým sektorem kvůli používání domény carprlce.ru, která se pravděpodobně vydává za legitimní doménu carprice.ru.

    Samotný malware je knihovna .NET DLL navržená primárně jako útočník, který zajišťuje perzistenci pro pokračující škodlivé operace a zároveň vykrádá citlivé informace.

    Trendy

    Nejvíce shlédnuto

    Načítání...