CAPI tagauks
Küberjulgeoleku uurijad on paljastanud uue pahavara kampaania, mis on suunatud Venemaa auto- ja e-kaubandussektorile. Rünnak kasutab varem dokumenteerimata .NET-pahavara, mis on nüüd identifitseeritud kui CAPI Backdoor ja mis demonstreerib täiustatud rünnakute vältimise ja andmete varguse tehnikaid.
Sisukord
Nakkusvektor: andmepüük ja ZIP-arhiivid
Nakatumise ahel algab ZIP-arhiivi sisaldavate õngitsuskirjadega. 3. oktoobrist 2025 dateeritud ZIP-artefakti analüüs paljastas petukoodina venekeelse dokumendi, mis teeskles tulumaksualaste õigusaktidega seotud teavitust. Dokumendiga on kaasas Windowsi otsetee (LNK) fail, mille nimi on sama mis arhiivil: Перерасчет заработной платы 01.10.2025.
See LNK-fail käivitab tagaukse DLL-i (adobe.dll) legitiimse Microsofti binaarfaili rundll32.exe kaudu, kasutades keerukate ohutegelaste poolt tavaliselt kasutatavat LotL-tehnikat (living-off-the-land).
Tagaukse võimalused: varjatud ja andmevargus
Pärast käivitamist täidab CAPI Backdoor mitmeid ülesandeid, säilitades samal ajal varjatuse:
- Kontrollib administraatori õigusi
- Kogub kokku installitud viirusetõrjeprogrammide loendi
- Avab peibutusdokumendi tähelepanu kõrvalejuhtimiseks
- Ühendub kaugserveriga (91.223.75[.]96), et saada lisakäsklusi
Saadud käsud võimaldavad pahavaral:
- Varastada veebibrauseritest (nt Google Chrome, Microsoft Edge ja Mozilla Firefox) volitusi ja andmeid
- Jäädvusta ekraanipilte
- Koguge süsteemiteavet
- Loetlege kausta sisu ja filtreerige see kaugserverisse
Vältimise ja püsimise mehhanismid
CAPI Backdoor kasutab mitmeid kontrolle, et teha kindlaks, kas see töötab virtuaalses keskkonnas või päris hostis. Püsivuse tagamiseks kasutab see kahte meetodit:
- Ajastatud ülesande loomine
- LNK-faili paigutamine Windowsi käivituskausta, et käivitada automaatselt Windowsi rändluskaustas talletatud tagaukse DLL-fail
- Need meetmed tagavad, et pahavara jääb aktiivseks ka pärast süsteemi taaskäivitamist.
Eesmärkide omistamine ja näitajad
Eksperdid seostavad kampaaniat Venemaa autotööstusega, kuna kasutatakse domeeni carprlce.ru, mis tõenäoliselt jäljendab seaduslikku domeeni carprice.ru.
Pahavara ise on .NET DLL, mis on loodud peamiselt varastamiseks, luues püsivuse pahatahtlike toimingute jätkamiseks, samal ajal tundlikku teavet välja filtreerides.
