CAPI aizmugurējās durvis
Kiberdrošības pētnieki ir atklājuši jaunu ļaunprogrammatūras kampaņu, kas vērsta pret Krievijas autobūves un e-komercijas nozarēm. Uzbrukumā tiek izmantota iepriekš nedokumentēta .NET ļaunprogrammatūra, kas tagad identificēta kā CAPI Backdoor un demonstrē uzlabotas datu apiešanas un zādzības metodes.
Satura rādītājs
Infekcijas vektors: pikšķerēšana un ZIP arhīvi
Infekcijas ķēde sākas ar pikšķerēšanas e-pastiem, kuros ir ZIP arhīvs. Analizējot 2025. gada 3. oktobra ZIP artefaktu, tika atklāts mānīgs dokuments krievu valodā, kas izlikās par paziņojumu saistībā ar ienākuma nodokļa tiesību aktiem. Šim dokumentam ir pievienots Windows saīsnes (LNK) fails ar tādu pašu nosaukumu kā arhīvam: Перерасчет заработной платы 01.10.2025.
Šis LNK fails izpilda aizmugurējās durvis DLL (adobe.dll), izmantojot likumīgu Microsoft bināro failu rundll32.exe, izmantojot dzīvošanas ārpus zemes (LotL) metodi, ko parasti izmanto sarežģīti draudu izpildītāji.
Aizmugurējo durvju iespējas: slepenība un datu zādzība
Kad CAPI Backdoor ir palaists, tas veic vairākus uzdevumus, vienlaikus saglabājot slepenību:
- Pārbauda administratora privilēģijas
- Apkopo instalēto pretvīrusu produktu sarakstu
- Atver mānekļa dokumentu kā uzmanības novēršanas līdzekli
- Izveido savienojumu ar attālo serveri (91.223.75[.]96), lai saņemtu papildu komandas.
Saņemtās komandas ļauj ļaunprogrammatūrai:
- Zagt akreditācijas datus un informāciju no tīmekļa pārlūkprogrammām, piemēram, Google Chrome, Microsoft Edge un Mozilla Firefox
- Uzņemiet ekrānuzņēmumus
- Apkopot sistēmas informāciju
- Uzskaitiet mapes saturu un nosūtiet to uz attālo serveri.
Izvairīšanās un noturības mehānismi
CAPI Backdoor izmanto vairākas pārbaudes, lai noteiktu, vai tā darbojas virtuālā vidē vai reālā resursdatorā. Pastāvības nodrošināšanai tā izmanto divas metodes:
- Plānota uzdevuma izveide
- LNK faila ievietošana Windows startēšanas mapē, lai automātiski palaistu Windows viesabonēšanas mapē saglabāto aizmugurējās durvis DLL failu
- Šie pasākumi nodrošina, ka ļaunprogrammatūra paliek aktīva pat pēc sistēmas pārstartēšanas.
Mērķu noteikšana un indikatori
Eksperti saista kampaņu ar Krievijas autobūves nozari domēna carprlce.ru izmantošanas dēļ, kas, visticamāk, atdarina likumīgo carprice.ru.
Pati ļaunprogrammatūra ir .NET DLL, kas galvenokārt izstrādāta kā zaglis, nodrošinot pastāvīgu ļaunprātīgu darbību turpināšanu, vienlaikus izfiltrējot sensitīvu informāciju.
