CAPI बैकडोर

साइबर सुरक्षा शोधकर्ताओं ने रूसी ऑटोमोबाइल और ई-कॉमर्स क्षेत्रों को निशाना बनाकर किए गए एक नए मैलवेयर अभियान का खुलासा किया है। यह हमला पहले से अज्ञात .NET मैलवेयर का इस्तेमाल करता है, जिसे अब CAPI बैकडोर के रूप में पहचाना जाता है, जो उन्नत चोरी और डेटा चोरी तकनीकों को दर्शाता है।

संक्रमण वेक्टर: फ़िशिंग और ज़िप अभिलेखागार

संक्रमण श्रृंखला एक ज़िप संग्रह वाले फ़िशिंग ईमेल से शुरू होती है। 3 अक्टूबर, 2025 की एक ज़िप आर्टिफैक्ट के विश्लेषण से एक फ़र्ज़ी रूसी भाषा का दस्तावेज़ सामने आया, जो आयकर कानून से संबंधित अधिसूचना के रूप में प्रस्तुत किया गया था। इस दस्तावेज़ के साथ एक विंडोज़ शॉर्टकट (LNK) फ़ाइल है जिसका नाम संग्रह के समान है: Перерасчет заработной платы 01.10.2025।

यह LNK फ़ाइल एक वैध माइक्रोसॉफ्ट बाइनरी, rundll32.exe के माध्यम से बैकडोर DLL (adobe.dll) को निष्पादित करती है, जिसमें लिविंग-ऑफ-द-लैंड (LotL) तकनीक का उपयोग किया जाता है, जिसका उपयोग आमतौर पर परिष्कृत खतरा पैदा करने वाले अभिनेताओं द्वारा किया जाता है।

पिछले दरवाजे की क्षमताएँ: चुपके और डेटा चोरी

एक बार निष्पादित होने के बाद, CAPI बैकडोर गुप्त रहते हुए कई कार्य करता है:

• व्यवस्थापक विशेषाधिकारों की जाँच करता है
• इंस्टॉल किए गए एंटीवायरस उत्पादों की सूची एकत्र करता है
• ध्यान भटकाने के लिए फर्जी दस्तावेज़ खोलता है
• अतिरिक्त आदेश प्राप्त करने के लिए दूरस्थ सर्वर (91.223.75[.]96) से कनेक्ट होता है

प्राप्त आदेश मैलवेयर को निम्नलिखित कार्य करने में सक्षम बनाते हैं:

• गूगल क्रोम, माइक्रोसॉफ्ट एज और मोज़िला फ़ायरफ़ॉक्स जैसे वेब ब्राउज़रों से क्रेडेंशियल और डेटा चुराना
• स्क्रीनशॉट कैप्चर करें
• सिस्टम जानकारी एकत्र करें
• फ़ोल्डर की सामग्री की गणना करें और उन्हें दूरस्थ सर्वर पर भेजें

चोरी और दृढ़ता तंत्र

CAPI बैकडोर यह निर्धारित करने के लिए कई जाँचों का उपयोग करता है कि यह वर्चुअल वातावरण में चल रहा है या वास्तविक होस्ट पर। दृढ़ता के लिए, यह दो विधियों का उपयोग करता है:

• एक निर्धारित कार्य बनाना

लक्ष्य निर्धारण और संकेतक

विशेषज्ञ इस अभियान को रूसी ऑटोमोबाइल क्षेत्र से जोड़ रहे हैं, क्योंकि इसमें carprlce.ru डोमेन का उपयोग किया गया है, जो संभवतः वैध carprice.ru का छद्म रूप है।

मैलवेयर स्वयं एक .NET DLL है, जिसे मुख्य रूप से चोरी करने के लिए डिज़ाइन किया गया है, जो संवेदनशील जानकारी को चुराते हुए निरंतर दुर्भावनापूर्ण संचालन के लिए दृढ़ता स्थापित करता है।