CAPI-takaovi

Kyberturvallisuustutkijat ovat paljastaneet uuden haittaohjelmakampanjan, joka on suunnattu Venäjän auto- ja verkkokauppasektoreille. Hyökkäys hyödyntää aiemmin dokumentoimatonta .NET-haittaohjelmaa, joka on nyt tunnistettu nimellä CAPI Backdoor ja joka esittelee edistyneitä väistö- ja tietovarkaustekniikoita.

Tartuntavektori: Tietojenkalastelu ja ZIP-arkistot

Tartuntaketju alkaa ZIP-arkiston sisältävillä tietojenkalasteluviesteillä. Lokakuun 3. päivänä 2025 päivätyn ZIP-tiedoston analyysi paljasti venäjänkielisen harhautusasiakirjan, joka tekeytyi tuloverolakiin liittyväksi ilmoitukseksi. Asiakirjan mukana on Windows-pikakuvake (LNK), jonka nimi on sama kuin arkiston: Перерасчет заработной платы 01.10.2025.

Tämä LNK-tiedosto suorittaa takaportti-DLL:n (adobe.dll) laillisen Microsoftin binääritiedoston rundll32.exe kautta käyttäen kehittyneiden uhkatoimijoiden yleisesti käyttämää LotL-tekniikkaa (living-off-the-land).

Takaoven ominaisuudet: Hiiviskely ja tietovarkaudet

Kun CAPI Backdoor on suoritettu, se suorittaa useita tehtäviä säilyttäen samalla piilotuksen:

• Tarkistaa järjestelmänvalvojan oikeudet
• Kerää luettelon asennetuista virustorjuntaohjelmista
• Avaa houkutusdokumentin häiriötekijänä
• Yhdistää etäpalvelimeen (91.223.75[.]96) vastaanottaakseen lisäkomentoja

Vastaanotetut komennot mahdollistavat haittaohjelman:

• Varasta tunnistetietoja ja tietoja verkkoselaimista, kuten Google Chrome, Microsoft Edge ja Mozilla Firefox
• Ota kuvakaappauksia
• Kerää järjestelmätietoja
• Luetteloi kansion sisältö ja siirrä se etäpalvelimelle

Välttäminen ja pysyvyysmekanismit

CAPI Backdoor käyttää useita tarkistuksia sen määrittämiseksi, toimiiko se virtuaaliympäristössä vai oikealla isännöintikoneella. Pysyvyyden varmistamiseksi se käyttää kahta menetelmää:

• Ajoitetun tehtävän luominen
• LNK-tiedoston sijoittaminen Windowsin käynnistyskansioon käynnistää automaattisesti Windows Roaming -kansioon tallennetun takaportin DLL-tiedoston.

• Nämä toimenpiteet varmistavat, että haittaohjelma pysyy aktiivisena myös järjestelmän uudelleenkäynnistyksen jälkeen.

Tavoitteiden määrittäminen ja indikaattorit

Asiantuntijat yhdistävät kampanjan Venäjän autoteollisuuteen carprlce.ru-verkkotunnuksen käytön vuoksi, joka todennäköisesti tekeytyy lailliseksi carprice.ru-verkkotunnukseksi.

Haittaohjelma itsessään on .NET DLL -tiedosto, joka on ensisijaisesti suunniteltu varastamiseksi. Se luo jatkuvia haitallisia toimintoja ja varastaa samalla arkaluonteisia tietoja.