Rabattilbud med flere licenser
Trusseldatabase Bagdøre CAPI-bagdør

CAPI-bagdør

Med Mezo i Bagdøre
Oversæt til:

Cybersikkerhedsforskere har afsløret en ny malwarekampagne rettet mod den russiske bil- og e-handelssektor. Angrebet udnytter en tidligere udokumenteret .NET-malware, nu identificeret som CAPI Backdoor, som demonstrerer avancerede teknikker til undvigelse og datatyveri.

Infektionsvektor: Phishing og ZIP-arkiver

Infektionskæden begynder med phishing-e-mails, der indeholder et ZIP-arkiv. Analyse af et ZIP-artefakt dateret 3. oktober 2025 afslørede et russisksproget dokument, der foregik som en meddelelse relateret til indkomstskattelovgivningen. Dokumentet ledsages af en Windows-genvejsfil (LNK) med samme navn som arkivet: Перерасчет заработной платы 01.10.2025.

Denne LNK-fil udfører bagdørs-DLL'en (adobe.dll) via en legitim Microsoft-binærfil, rundll32.exe, ved hjælp af en "living-off-the-land"-teknik (LotL), der almindeligvis bruges af sofistikerede trusselsaktører.

Bagdørsfunktioner: Stealth og datatyveri

Når den er udført, udfører CAPI Backdoor flere opgaver, samtidig med at den opretholder skjult beskyttelse:

  • Kontrollerer administratorrettigheder
  • Samler en liste over installerede antivirusprodukter
  • Åbner lokkeduedokumentet som en distraktion
  • Forbinder til en fjernserver (91.223.75[.]96) for at modtage yderligere kommandoer

De modtagne kommandoer gør det muligt for malwaren at:

  • Stjæl loginoplysninger og data fra webbrowsere som Google Chrome, Microsoft Edge og Mozilla Firefox
  • Tag skærmbilleder
  • Indsaml systemoplysninger
  • Opregn mappens indhold og filtrer det ud til den eksterne server

Undvigelses- og vedholdenhedsmekanismer

CAPI Backdoor bruger adskillige kontroller til at afgøre, om den kører i et virtuelt miljø eller på en rigtig vært. For at opnå persistens bruger den to metoder:

  • Oprettelse af en planlagt opgave
  • Placering af en LNK-fil i Windows startmappe for automatisk at starte den bagdørs-DLL, der er gemt i Windows Roaming-mappen.
  • Disse foranstaltninger sikrer, at malwaren forbliver aktiv, selv efter systemgenstart.

Måltilskrivning og indikatorer

Eksperter forbinder kampagnen med den russiske bilsektor på grund af brugen af domænet carprlce.ru, der sandsynligvis udgiver sig for at være det legitime carprice.ru.

Selve malwaren er en .NET DLL, der primært er designet som en tyverisoftware, der etablerer persistens for fortsatte ondsindede operationer, samtidig med at den stjæler følsomme oplysninger.

Trending

Mest sete

Indlæser...