درب پشتی CAPI
محققان امنیت سایبری یک کمپین بدافزاری جدید را کشف کردهاند که بخشهای خودرو و تجارت الکترونیک روسیه را هدف قرار داده است. این حمله از یک بدافزار .NET که قبلاً مستند نشده بود و اکنون با نام CAPI Backdoor شناخته میشود، استفاده میکند که تکنیکهای پیشرفته فرار و سرقت دادهها را نشان میدهد.
فهرست مطالب
مسیر آلودگی: فیشینگ و آرشیوهای زیپ
زنجیره آلودگی با ایمیلهای فیشینگ حاوی یک آرشیو ZIP آغاز میشود. تجزیه و تحلیل یک فایل ZIP مربوط به ۳ اکتبر ۲۰۲۵، یک سند جعلی به زبان روسی را نشان داد که به عنوان اعلانی مربوط به قانون مالیات بر درآمد ظاهر میشد. همراه با این سند، یک فایل میانبر ویندوز (LNK) با همان نام آرشیو وجود دارد: Перерасчет заработной платы ۰۱.۱۰.۲۰۲۵.
این فایل LNK، بکدور DLL (adobe.dll) را از طریق یک فایل باینری قانونی مایکروسافت، rundll32.exe، با استفاده از تکنیک LotL که معمولاً توسط مهاجمان پیچیده استفاده میشود، اجرا میکند.
قابلیتهای در پشتی: مخفیکاری و سرقت دادهها
پس از اجرا، CAPI Backdoor چندین وظیفه را انجام میدهد و در عین حال مخفیانه عمل میکند:
- بررسی امتیازات مدیر
- فهرستی از محصولات آنتی ویروس نصب شده را جمع آوری می کند
- سند جعلی را به عنوان یک عامل حواسپرتی باز میکند
- برای دریافت دستورات اضافی به یک سرور راه دور (91.223.75[.]96) متصل میشود.
دستورات دریافتی، بدافزار را قادر میسازد تا:
- سرقت اطلاعات و اعتبارنامهها از مرورگرهای وب مانند گوگل کروم، مایکروسافت اج و موزیلا فایرفاکس
- ضبط تصاویر
- جمعآوری اطلاعات سیستم
- شمارش محتویات پوشه و انتقال آنها به سرور راه دور
مکانیسمهای گریز و پایداری
CAPI Backdoor چندین بررسی انجام میدهد تا مشخص کند که آیا در یک محیط مجازی یا روی یک میزبان واقعی در حال اجرا است. برای ماندگاری، از دو روش استفاده میکند:
- ایجاد یک وظیفه زمانبندیشده
تخصیص هدف و شاخصها
کارشناسان این کمپین را به دلیل استفاده از دامنه carprlce.ru که احتمالاً خود را به جای دامنه قانونی carprice.ru جا زده است، به بخش خودروسازی روسیه مرتبط میدانند.
این بدافزار یک DLL با پسوند .NET است که در درجه اول به عنوان یک سارق اطلاعات طراحی شده است و ضمن استخراج اطلاعات حساس، برای ادامه عملیات مخرب خود پایداری ایجاد میکند.
