דלת אחורית של CAPI
חוקרי אבטחת סייבר חשפו קמפיין זדוני חדש שמכוון נגד מגזרי הרכב והמסחר האלקטרוני ברוסיה. המתקפה מנצלת נוזקת .NET שלא תועדה בעבר, שזוהתה כעת כ-CAPI Backdoor, המדגימה טכניקות התחמקות וגניבת נתונים מתקדמות.
תוכן העניינים
וקטור זיהום: פישינג וארכיון ZIP
שרשרת ההדבקה מתחילה בהודעות דיוג (פישינג) הנושאות ארכיון ZIP. ניתוח של פריט ZIP מיום 3 באוקטובר 2025 חשף מסמך מטעה בשפה הרוסית שהתחזה להודעה הקשורה לחקיקת מס הכנסה. למסמך זה מצורף קובץ קיצור דרך של Windows (LNK) בעל שם זהה לארכיון: Перерасчет заработной платы 01.10.2025.
קובץ LNK זה מריץ את קובץ ה-DLL האחורי (adobe.dll) דרך קובץ בינארי לגיטימי של מיקרוסופט, rundll32.exe, תוך שימוש בטכניקת "חיים מחוץ לאדמה" (LotL) הנפוצה בקרב גורמי איום מתוחכמים.
יכולות דלת אחורית: התגנבות וגניבת נתונים
לאחר ההפעלה, CAPI Backdoor מבצע מספר משימות תוך שמירה על חשאיות:
- בדיקות של הרשאות מנהל מערכת
- אוסף רשימה של מוצרי האנטי-וירוס המותקנים
- פותח את מסמך הפיתיון כהסחת דעת
- מתחבר לשרת מרוחק (91.223.75[.]96) כדי לקבל פקודות נוספות
הפקודות שהתקבלו מאפשרות לתוכנה הזדונית:
- גניבת אישורים ונתונים מדפדפני אינטרנט כמו גוגל כרום, מיקרוסופט אדג' ומוזילה פיירפוקס
- צילום צילומי מסך
- איסוף מידע על המערכת
- ספירת תוכן התיקיות והעברתן לשרת המרוחק
מנגנוני התחמקות והתמדה
CAPI Backdoor משתמש במספר בדיקות כדי לקבוע אם הוא פועל בסביבה וירטואלית או על מארח אמיתי. לצורך עמידות, הוא משתמש בשתי שיטות:
- יצירת משימה מתוזמנת
ייחוס יעדים ומדדים
מומחים מקשרים את הקמפיין לתעשיית הרכב הרוסי עקב השימוש בדומיין carprlce.ru, שככל הנראה מתחזה לכתובת הלגיטימית carprice.ru.
הנוזקה עצמה היא תוכנת DLL מסוג .NET שתוכננה בעיקר כגנבת, ובכך מביאה עמדות לפעולות זדוניות מתמשכות תוך גניבת מידע רגיש.
