Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pintu belakang Pintu Belakang CAPI

Pintu Belakang CAPI

Menjelang Mezo pada Pintu belakang
Terjemahkan ke

Penyelidik keselamatan siber telah menemui kempen perisian hasad baharu yang ditujukan kepada sektor automobil dan e-dagang Rusia. Serangan itu memanfaatkan perisian hasad .NET yang tidak didokumenkan sebelum ini, kini dikenal pasti sebagai CAPI Backdoor, yang menunjukkan teknik pengelakan dan kecurian data lanjutan.

Vektor Jangkitan: Arkib Phishing dan ZIP

Rantaian jangkitan bermula dengan e-mel pancingan data yang membawa arkib ZIP. Analisis artifak ZIP bertarikh 3 Oktober 2025, mendedahkan dokumen berbahasa Rusia yang menyamar sebagai pemberitahuan berkaitan perundangan cukai pendapatan. Mengiringi dokumen ini ialah fail pintasan Windows (LNK) dengan nama yang sama dengan arkib: Перерасчет заработной платы 01.10.2025.

Fail LNK ini melaksanakan DLL pintu belakang (adobe.dll) melalui perduaan Microsoft yang sah, rundll32.exe, menggunakan teknik hidup-luar-tanah (LotL) yang biasa digunakan oleh pelaku ancaman yang canggih.

Keupayaan Pintu Belakang: Stealth dan Kecurian Data

Setelah dilaksanakan, CAPI Backdoor melaksanakan berbilang tugas sambil mengekalkan stealth:

  • Menyemak keistimewaan pentadbir
  • Mengumpul senarai produk antivirus yang dipasang
  • Membuka dokumen umpan sebagai gangguan
  • Menyambung ke pelayan jauh (91.223.75[.]96) untuk menerima arahan tambahan

Arahan yang diterima membolehkan perisian hasad untuk:

  • Curi bukti kelayakan dan data daripada pelayar web seperti Google Chrome, Microsoft Edge dan Mozilla Firefox
  • Tangkap tangkapan skrin
  • Mengumpul maklumat sistem
  • Hitung kandungan folder dan keluarkannya ke pelayan jauh

Mekanisme Pengelakan dan Kegigihan

CAPI Backdoor menggunakan beberapa semakan untuk menentukan sama ada ia berjalan dalam persekitaran maya atau pada hos sebenar. Untuk kegigihan, ia menggunakan dua kaedah:

  • Membuat tugasan yang dijadualkan
  • Meletakkan fail LNK dalam folder Windows Startup untuk melancarkan DLL pintu belakang secara automatik yang disimpan dalam folder Windows Roaming
  • Langkah-langkah ini memastikan bahawa perisian hasad kekal aktif walaupun selepas sistem but semula.

Atribusi dan Penunjuk Sasaran

Pakar memautkan kempen itu ke sektor automobil Rusia kerana penggunaan domain carprlce.ru, berkemungkinan menyamar sebagai carprice.ru yang sah.

Perisian hasad itu sendiri ialah DLL .NET yang direka terutamanya sebagai pencuri, mewujudkan kegigihan untuk operasi berniat jahat yang berterusan sambil mengeluarkan maklumat sensitif.

Trending

Paling banyak dilihat

Memuatkan...