Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Backdoors CAPI Backdoor

CAPI Backdoor

Μέχρι το Mezo το Backdoors
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια νέα εκστρατεία κακόβουλου λογισμικού που στοχεύει τους ρωσικούς τομείς της αυτοκινητοβιομηχανίας και του ηλεκτρονικού εμπορίου. Η επίθεση αξιοποιεί ένα προηγουμένως μη καταγεγραμμένο κακόβουλο λογισμικό .NET, το οποίο πλέον αναγνωρίζεται ως CAPI Backdoor, το οποίο επιδεικνύει προηγμένες τεχνικές φοροδιαφυγής και κλοπής δεδομένων.

Διάνυσμα μόλυνσης: Ηλεκτρονικό ψάρεμα (phishing) και αρχεία ZIP

Η αλυσίδα μόλυνσης ξεκινά με email ηλεκτρονικού "ψαρέματος" (phishing) που περιέχουν ένα αρχείο ZIP. Η ανάλυση ενός τεχνουργήματος ZIP με ημερομηνία 3 Οκτωβρίου 2025 αποκάλυψε ένα δόλωμα έγγραφο στη ρωσική γλώσσα που παρίστανε μια ειδοποίηση σχετικά με τη νομοθεσία περί φόρου εισοδήματος. Το παρόν έγγραφο συνοδεύεται από ένα αρχείο συντόμευσης των Windows (LNK) με το ίδιο όνομα με το αρχείο: Перашчет заработной платы 01.10.2025.

Αυτό το αρχείο LNK εκτελεί το backdoor DLL (adobe.dll) μέσω ενός νόμιμου δυαδικού αρχείου της Microsoft, του rundll32.exe, χρησιμοποιώντας μια τεχνική LotL (living-off-the-land) που χρησιμοποιείται συνήθως από εξελιγμένους απειλητικούς παράγοντες.

Δυνατότητες Backdoor: Stealth και κλοπή δεδομένων

Μόλις εκτελεστεί, το CAPI Backdoor εκτελεί πολλαπλές εργασίες διατηρώντας παράλληλα την αόρατη λειτουργία του:

  • Έλεγχοι για δικαιώματα διαχειριστή
  • Συγκεντρώνει μια λίστα με τα εγκατεστημένα προϊόντα προστασίας από ιούς
  • Ανοίγει το έγγραφο-δόλωμα ως αντιπερισπασμό
  • Συνδέεται με έναν απομακρυσμένο διακομιστή (91.223.75[.]96) για να λαμβάνει πρόσθετες εντολές

Οι λαμβανόμενες εντολές επιτρέπουν στο κακόβουλο λογισμικό να:

  • Κλοπή διαπιστευτηρίων και δεδομένων από προγράμματα περιήγησης ιστού όπως το Google Chrome, το Microsoft Edge και το Mozilla Firefox
  • Λήψη στιγμιότυπων οθόνης
  • Συλλογή πληροφοριών συστήματος
  • Απαριθμήστε τα περιεχόμενα του φακέλου και μεταφέρετέ τα στον απομακρυσμένο διακομιστή

Μηχανισμοί αποφυγής και επιμονής

Το CAPI Backdoor χρησιμοποιεί διάφορους ελέγχους για να διαπιστώσει εάν εκτελείται σε εικονικό περιβάλλον ή σε πραγματικό κεντρικό υπολογιστή. Για την επιμονή, χρησιμοποιεί δύο μεθόδους:

  • Δημιουργία προγραμματισμένης εργασίας
  • Τοποθέτηση ενός αρχείου LNK στον φάκελο "Εκκίνηση" των Windows για αυτόματη εκκίνηση του backdoor DLL που είναι αποθηκευμένο στον φάκελο "Περιαγωγή των Windows"
  • Αυτά τα μέτρα διασφαλίζουν ότι το κακόβουλο λογισμικό παραμένει ενεργό ακόμη και μετά την επανεκκίνηση του συστήματος.

    • Απόδοση στόχου και δείκτες

    Οι ειδικοί συνδέουν την καμπάνια με τον ρωσικό αυτοκινητοβιομηχανικό τομέα λόγω της χρήσης του domain carprlce.ru, το οποίο πιθανότατα μιμείται το νόμιμο carprice.ru.

    Το ίδιο το κακόβουλο λογισμικό είναι ένα .NET DLL που έχει σχεδιαστεί κυρίως ως κλέφτης, δημιουργώντας έτσι μόνιμα δεδομένα για συνεχείς κακόβουλες λειτουργίες, ενώ παράλληλα κλέβει ευαίσθητες πληροφορίες.

    Τάσεις

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    33,602
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...