Rabatttilbud for flere lisenser
Trusseldatabase Bakdører CAPI-bakdør

CAPI-bakdør

Med Mezo i Bakdører
Oversett til:

Forskere innen nettsikkerhet har avdekket en ny kampanje for skadelig programvare rettet mot den russiske bil- og e-handelssektoren. Angrepet utnytter en tidligere udokumentert .NET-skadevare, nå identifisert som CAPI Backdoor, som demonstrerer avanserte teknikker for unnvikelse og datatyveri.

Infeksjonsvektor: Phishing og ZIP-arkiver

Infeksjonskjeden starter med phishing-e-poster som inneholder et ZIP-arkiv. Analyse av et ZIP-artefakt datert 3. oktober 2025 avdekket et russiskspråklig dokument som utga seg for å være et varsel relatert til inntektsskattelovgivningen. Medfølgende dette dokumentet er en Windows-snarveifil (LNK) med samme navn som arkivet: Перерасчет заработной платы 01.10.2025.

Denne LNK-filen kjører bakdørs-DLL-en (adobe.dll) gjennom en legitim Microsoft-binærfil, rundll32.exe, ved hjelp av en «living-off-the-land»-teknikk (LotL) som vanligvis brukes av sofistikerte trusselaktører.

Bakdørsfunksjoner: Sniking og datatyveri

Når den er kjørt, utfører CAPI Backdoor flere oppgaver samtidig som den opprettholder skjult funksjonalitet:

  • Sjekker administratorrettigheter
  • Samler en liste over installerte antivirusprodukter
  • Åpner lokkedokumentet som en distraksjon
  • Kobler til en ekstern server (91.223.75[.]96) for å motta flere kommandoer

De mottatte kommandoene gjør det mulig for skadelig programvare å:

  • Stjel påloggingsinformasjon og data fra nettlesere som Google Chrome, Microsoft Edge og Mozilla Firefox
  • Ta skjermbilder
  • Samle inn systeminformasjon
  • List opp mappeinnholdet og filtrer det ut til den eksterne serveren

Unnvikelses- og vedvarende mekanismer

CAPI Backdoor bruker flere kontroller for å avgjøre om den kjører i et virtuelt miljø eller på en ekte vert. For persistens bruker den to metoder:

  • Opprette en planlagt oppgave
  • Plassere en LNK-fil i Windows oppstartsmappen for å automatisk starte bakdørs-DLL-en som er lagret i Windows Roaming-mappen
  • Disse tiltakene sikrer at skadevaren forblir aktiv selv etter at systemet har startet på nytt.

Målattribusjon og indikatorer

Eksperter knytter kampanjen til den russiske bilsektoren på grunn av bruken av domenet carprlce.ru, som sannsynligvis utgir seg for å være det legitime carprice.ru.

Selve skadevaren er en .NET DLL som primært er utviklet som en tyveritjeneste, og etablerer persistens for fortsatte ondsinnede operasjoner samtidig som den strammer inn sensitiv informasjon.

Trender

Mest sett

Laster inn...