Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata CAPI stražnja vrata

CAPI stražnja vrata

Do Mezo. Stražnja vrata. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su novu kampanju zlonamjernog softvera usmjerenu na ruski automobilski i e-trgovinski sektor. Napad koristi prethodno nedokumentirani .NET zlonamjerni softver, sada identificiran kao CAPI Backdoor, koji demonstrira napredne tehnike izbjegavanja i krađe podataka.

Vektor zaraze: Phishing i ZIP arhive

Lanac zaraze započinje phishing e-porukama koje sadrže ZIP arhivu. Analiza ZIP artefakta od 3. listopada 2025. otkrila je lažni dokument na ruskom jeziku koji se predstavlja kao obavijest vezana uz zakonodavstvo o porezu na dohodak. Uz ovaj dokument dolazi datoteka prečaca za Windows (LNK) s istim nazivom kao i arhiva: Перерасчет заработной платы 01.10.2025.

Ova LNK datoteka izvršava backdoor DLL (adobe.dll) putem legitimne Microsoftove binarne datoteke, rundll32.exe, koristeći tehniku života izvan zemlje (LotL) koju često koriste sofisticirani akteri prijetnji.

Mogućnosti stražnjih vrata: Prikrivenost i krađa podataka

Nakon što se pokrene, CAPI Backdoor obavlja više zadataka uz održavanje prikrivenosti:

  • Provjerava administratorske ovlasti
  • Prikuplja popis instaliranih antivirusnih proizvoda
  • Otvara dokument mamac kao distrakciju
  • Povezuje se s udaljenim poslužiteljem (91.223.75[.]96) radi primanja dodatnih naredbi

Primljene naredbe omogućuju zlonamjernom softveru:

  • Krađa vjerodajnica i podataka iz web preglednika kao što su Google Chrome, Microsoft Edge i Mozilla Firefox
  • Snimanje zaslona
  • Prikupljajte informacije o sustavu
  • Nabroji sadržaj mape i prenesi ga na udaljeni poslužitelj

Mehanizmi izbjegavanja i ustrajnosti

CAPI Backdoor koristi nekoliko provjera kako bi utvrdio radi li u virtualnom okruženju ili na stvarnom hostu. Za perzistentnost koristi dvije metode:

  • Izrada zakazanog zadatka
  • Postavljanje LNK datoteke u mapu Startup sustava Windows za automatsko pokretanje backdoor DLL-a pohranjenog u mapi Windows Roaming
  • Ove mjere osiguravaju da zlonamjerni softver ostane aktivan čak i nakon ponovnog pokretanja sustava.

Ciljana atribucija i pokazatelji

Stručnjaci povezuju kampanju s ruskim automobilskim sektorom zbog korištenja domene carprlce.ru, koja vjerojatno predstavlja legitimnu domenu carprice.ru.

Sam zlonamjerni softver je .NET DLL prvenstveno dizajniran kao kradljivac, uspostavljajući trajnost za nastavak zlonamjernih operacija dok istovremeno krade osjetljive informacije.

U trendu

Nagledanije

Učitavam...