Preventivo sconto multi-licenza
Database delle minacce Porte sul retro Porta sul retro CAPI

Porta sul retro CAPI

Entro Mezo nel Porte sul retro
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una nuova campagna malware mirata ai settori automobilistico ed e-commerce russi. L'attacco sfrutta un malware .NET precedentemente non documentato, ora identificato come CAPI Backdoor, che dimostra tecniche avanzate di evasione e furto di dati.

Vettore di infezione: phishing e archivi ZIP

La catena di infezione inizia con email di phishing contenenti un archivio ZIP. L'analisi di un file ZIP datato 3 ottobre 2025 ha rivelato un documento fittizio in lingua russa che si spacciava per una notifica relativa alla legislazione fiscale. Questo documento è accompagnato da un file di collegamento di Windows (LNK) con lo stesso nome dell'archivio: Перерасчет заработной платы 01.10.2025.

Questo file LNK esegue la DLL backdoor (adobe.dll) tramite un binario Microsoft legittimo, rundll32.exe, impiegando una tecnica di tipo "living-off-the-land" (LotL) comunemente utilizzata dagli autori di minacce sofisticate.

Capacità backdoor: furtività e furto di dati

Una volta eseguito, CAPI Backdoor esegue più attività mantenendo la massima discrezione:

  • Controlla i privilegi di amministratore
  • Raccoglie un elenco dei prodotti antivirus installati
  • Apre il documento esca come distrazione
  • Si connette a un server remoto (91.223.75[.]96) per ricevere comandi aggiuntivi

I comandi ricevuti consentono al malware di:

  • Rubare credenziali e dati da browser web come Google Chrome, Microsoft Edge e Mozilla Firefox
  • Cattura screenshot
  • Raccogliere informazioni di sistema
  • Enumerare il contenuto della cartella ed esfiltrarlo sul server remoto

Meccanismi di evasione e persistenza

CAPI Backdoor effettua diversi controlli per determinare se è in esecuzione in un ambiente virtuale o su un host reale. Per la persistenza, utilizza due metodi:

  • Creazione di un'attività pianificata
  • Inserimento di un file LNK nella cartella di avvio di Windows per avviare automaticamente la DLL backdoor memorizzata nella cartella Roaming di Windows
  • Queste misure garantiscono che il malware rimanga attivo anche dopo il riavvio del sistema.

Attribuzione degli obiettivi e indicatori

Gli esperti collegano la campagna al settore automobilistico russo, in quanto viene utilizzato il dominio carprlce.ru, che probabilmente impersona il legittimo carprice.ru.

Il malware stesso è una DLL .NET progettata principalmente come un ladro, che stabilisce la persistenza per operazioni dannose continue mentre esfiltra informazioni sensibili.

Tendenza

I più visti

Caricamento in corso...