Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Achterdeurtjes CAPI-achterdeur

CAPI-achterdeur

Tegen Mezo in Achterdeurtjes
Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe malwarecampagne ontdekt die gericht is op de Russische auto- en e-commercesector. De aanval maakt gebruik van een eerder niet-gedocumenteerde .NET-malware, nu geïdentificeerd als CAPI Backdoor, die geavanceerde technieken voor ontwijking en gegevensdiefstal laat zien.

Infectievector: phishing en ZIP-archieven

De infectieketen begint met phishing-e-mails met een ZIP-archief. Analyse van een ZIP-artefact van 3 oktober 2025 onthulde een Russisch-document dat zich voordeed als een melding met betrekking tot de inkomstenbelastingwetgeving. Bij dit document hoort een Windows-snelkoppelingsbestand (LNK) met dezelfde naam als het archief: Перерасчет заработной платы 01.10.2025.

Dit LNK-bestand voert de backdoor-DLL (adobe.dll) uit via een legitiem binair bestand van Microsoft, rundll32.exe, waarbij gebruik wordt gemaakt van een living-off-the-land (LotL)-techniek die gewoonlijk wordt gebruikt door geavanceerde bedreigingsactoren.

Backdoor-mogelijkheden: stealth en gegevensdiefstal

Zodra CAPI Backdoor is uitgevoerd, voert het meerdere taken uit terwijl het onopvallend blijft:

  • Controleert op beheerdersrechten
  • Verzamelt een lijst met geïnstalleerde antivirusproducten
  • Opent het lokdocument als afleiding
  • Maakt verbinding met een externe server (91.223.75[.]96) om extra opdrachten te ontvangen

De ontvangen opdrachten stellen de malware in staat om:

  • Inloggegevens en gegevens stelen van webbrowsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox
  • Schermafbeeldingen maken
  • Systeeminformatie verzamelen
  • De inhoud van de map opsommen en naar de externe server exfiltreren

Ontwijkings- en persistentiemechanismen

CAPI Backdoor gebruikt verschillende controles om te bepalen of het in een virtuele omgeving of op een echte host draait. Voor persistentie gebruikt het twee methoden:

  • Een geplande taak maken
  • Een LNK-bestand in de opstartmap van Windows plaatsen om automatisch de backdoor-DLL te starten die is opgeslagen in de map Windows Roaming
  • Deze maatregelen zorgen ervoor dat de malware actief blijft, zelfs nadat het systeem opnieuw is opgestart.

Doeltoewijzing en indicatoren

Deskundigen linken de campagne aan de Russische automobielsector vanwege het gebruik van het domein carprlce.ru, dat zich waarschijnlijk voordoet als het legitieme carprice.ru.

De malware zelf is een .NET DLL die primair is ontworpen als stealer en die persistentie biedt voor voortdurende kwaadaardige bewerkingen terwijl gevoelige informatie wordt buitgemaakt.

Trending

Meest bekeken

Bezig met laden...