CAPI hátsó ajtó

Kiberbiztonsági kutatók egy új, az orosz autó- és e-kereskedelmi szektort célzó kártevőkampányt lepleztek le. A támadás egy korábban nem dokumentált .NET kártevőt használ, amelyet most CAPI Backdoor néven azonosítottak, és amely fejlett adatmegkerülési és adatlopási technikákat mutat be.

Fertőzésvektor: Adathalászat és ZIP-archívumok

A fertőzési lánc ZIP archívumot tartalmazó adathalász e-mailekkel kezdődik. Egy 2025. október 3-i keltezésű ZIP-artefaktum elemzése során egy orosz nyelvű, csali tartalmú dokumentumot tártak fel, amely a jövedelemadó-törvénnyel kapcsolatos értesítésnek álcázva magát található. A dokumentumhoz egy Windows parancsikon (LNK) is tartozik, amelynek neve megegyezik az archívum nevével: Перерасчет заработной платы 01.10.2025.

Ez az LNK fájl a hátsó ajtó DLL-t (adobe.dll) egy legitim Microsoft bináris fájlon, a rundll32.exe-n keresztül futtatja, egy élőhely-elhagyásos (LotL) technikát alkalmazva, amelyet a kifinomult fenyegetések gyakran használnak.

Hátsó ajtó képességei: Lopakodás és adatlopás

A futtatás után a CAPI Backdoor több feladatot is végrehajt, miközben megőrzi a rejtett működését:

• Rendszergazdai jogosultságok ellenőrzése
• Összegyűjti a telepített víruskereső termékek listáját
• Figyelemelterelésként megnyitja a csali dokumentumot
• Csatlakozik egy távoli szerverhez (91.223.75[.]96) további parancsok fogadásához

A kapott parancsok lehetővé teszik a rosszindulatú program számára, hogy:

• Hitelesítő adatok és adatok lopása webböngészőkből, például a Google Chrome-ból, a Microsoft Edge-ből és a Mozilla Firefoxból
• Képernyőképek készítése
• Rendszerinformációk gyűjtése
• Mappa tartalmának számbavétele és kiszivárogtatása a távoli szerverre

Kikerülés és kitartás mechanizmusai

A CAPI Backdoor számos ellenőrzést alkalmaz annak megállapítására, hogy virtuális környezetben vagy valódi gépen fut-e. A perzisztencia érdekében két módszert használ:

• Ütemezett feladat létrehozása
• LNK fájl elhelyezése a Windows Indítópult mappájában a Windows Roaming mappájában tárolt hátsó ajtó DLL automatikus elindításához

• Ezek az intézkedések biztosítják, hogy a kártevő a rendszer újraindítása után is aktív maradjon.

Célkitűzések és mutatók

A szakértők az orosz autóiparhoz kötik a kampányt a carprlce.ru domain használata miatt, amely valószínűleg a legitim carprice.ru domaint utánozza.

Maga a kártevő egy .NET DLL, amelyet elsősorban lopásra terveztek, és amely folyamatos rosszindulatú műveleteket biztosít, miközben érzékeny információkat szivárogtat ki.