Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys CAPI galinės durys

CAPI galinės durys

Autorius Mezo, Užpakalinės durys
Versti į:

Kibernetinio saugumo tyrėjai atskleidė naują kenkėjiškų programų kampaniją, nukreiptą prieš Rusijos automobilių ir elektroninės prekybos sektorius. Ataka pasitelkia anksčiau nedokumentuotą .NET kenkėjišką programą, dabar identifikuotą kaip CAPI Backdoor, kuri demonstruoja pažangius duomenų vagystės ir slapto įsilaužimo metodus.

Infekcijos vektorius: sukčiavimas apsimetant ir ZIP archyvai

Užkrėtimo grandinė prasideda sukčiavimo el. laiškais, kuriuose yra ZIP archyvas. Išanalizavus 2025 m. spalio 3 d. ZIP artefaktą, buvo aptiktas masalas rusų kalba parašytas dokumentas, apsimetantis pranešimu, susijusiu su pajamų mokesčio įstatymais. Prie šio dokumento pridėtas „Windows“ sparčiųjų klavišų (LNK) failas tuo pačiu pavadinimu kaip ir archyvas: Перерасчет заработной платы 01.10.2025.

Šis LNK failas vykdo „backdoor“ DLL (adobe.dll) per teisėtą „Microsoft“ dvejetainį failą rundll32.exe, naudodamas „living-off-the-land“ (LotL) techniką, kurią dažniausiai naudoja sudėtingi kenkėjai.

„Backdoor“ galimybės: slaptas veikimas ir duomenų vagystės

Paleidus „CAPI Backdoor“, ji atlieka kelias užduotis, tuo pačiu išlaikydama nepastebimą veikimą:

  • Tikrina administratoriaus teises
  • Surenka įdiegtų antivirusinių produktų sąrašą
  • Atidaro masalo dokumentą kaip blaškymo priemonę
  • Prisijungia prie nuotolinio serverio (91.223.75[.]96), kad gautų papildomas komandas

Gautos komandos leidžia kenkėjiškai programai:

  • Vagti prisijungimo duomenis ir įgaliojimus iš interneto naršyklių, tokių kaip „Google Chrome“, „Microsoft Edge“ ir „Mozilla Firefox“
  • Užfiksuoti ekrano kopijas
  • Rinkti sistemos informaciją
  • Išvardykite aplanko turinį ir išfiltruokite jį į nuotolinį serverį

Išsisukimo ir išsilaikymo mechanizmai

„CAPI Backdoor“ atlieka kelis patikrinimus, kad nustatytų, ar veikia virtualioje aplinkoje, ar realiame kompiuteryje. Duomenų tęstinumui užtikrinti naudojami du metodai:

  • Suplanuotos užduoties kūrimas
  • Įdėjus LNK failą į „Windows“ paleisties aplanką, automatiškai paleidžiama „backdoor“ DLL, saugoma „Windows“ tarptinklinio ryšio aplanke
  • Šios priemonės užtikrina, kad kenkėjiška programa išliktų aktyvi net ir po sistemos perkrovimo.

Tikslų priskyrimas ir rodikliai

Ekspertai kampaniją sieja su Rusijos automobilių sektoriumi dėl domeno carprlce.ru naudojimo, kuris greičiausiai apsimetinėja teisėtu carprice.ru.

Pati kenkėjiška programa yra .NET DLL, sukurta pirmiausia kaip vagystė, užtikrinanti nuolatinę kenkėjiškų operacijų tęstinumą ir tuo pačiu išfiltruojant jautrią informaciją.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
33,602
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...