Tylne drzwi CAPI

Badacze cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania wymierzoną w rosyjski sektor motoryzacyjny i e-commerce. Atak wykorzystuje wcześniej nieudokumentowane złośliwe oprogramowanie .NET, zidentyfikowane obecnie jako CAPI Backdoor, które demonstruje zaawansowane techniki unikania i kradzieży danych.

Wektor infekcji: phishing i archiwa ZIP

Łańcuch infekcji rozpoczyna się od wiadomości e-mail typu phishing zawierających archiwum ZIP. Analiza artefaktu ZIP z 3 października 2025 r. ujawniła fałszywy dokument w języku rosyjskim, podszywający się pod powiadomienie dotyczące przepisów podatkowych. Do dokumentu dołączony jest plik skrótu systemu Windows (LNK) o tej samej nazwie co archiwum: „Pierwszy płatnik z 01.10.2025”.

Plik LNK uruchamia bibliotekę DLL typu backdoor (adobe.dll) za pośrednictwem legalnego pliku binarnego firmy Microsoft, rundll32.exe, wykorzystując technikę „living-off-the-land” (LotL), powszechnie stosowaną przez wyrafinowanych aktorów zagrożeń.

Możliwości tylnych drzwi: ukrywanie się i kradzież danych

Po uruchomieniu CAPI Backdoor wykonuje wiele zadań, pozostając jednocześnie w ukryciu:

• Sprawdza uprawnienia administratora
• Gromadzi listę zainstalowanych produktów antywirusowych
• Otwiera dokument-wabik jako dywersję
• Łączy się ze zdalnym serwerem (91.223.75[.]96) w celu otrzymania dodatkowych poleceń

Otrzymane polecenia umożliwiają złośliwemu oprogramowaniu:

• Kradzież danych uwierzytelniających i danych z przeglądarek internetowych, takich jak Google Chrome, Microsoft Edge i Mozilla Firefox
• Zrób zrzuty ekranu
• Zbierz informacje o systemie
• Wypisz zawartość folderu i przenieś ją na zdalny serwer

Mechanizmy unikania i utrzymywania się

CAPI Backdoor stosuje kilka testów, aby ustalić, czy działa w środowisku wirtualnym, czy na rzeczywistym hoście. W celu zapewnienia trwałości wykorzystuje dwie metody:

• Tworzenie zaplanowanego zadania
• Umieszczenie pliku LNK w folderze Uruchamianie systemu Windows w celu automatycznego uruchomienia biblioteki DLL typu backdoor przechowywanej w folderze Windows Roaming

• Dzięki tym zabiegom masz pewność, że złośliwe oprogramowanie pozostanie aktywne nawet po ponownym uruchomieniu systemu.

Atrybucja docelowa i wskaźniki

Eksperci łączą kampanię z rosyjskim sektorem motoryzacyjnym, ponieważ używana jest domena carprlce.ru, najprawdopodobniej podszywająca się pod legalną domenę carprice.ru.

Samo złośliwe oprogramowanie to biblioteka DLL .NET zaprojektowana przede wszystkim jako narzędzie do kradzieży danych, zapewniające trwałość w celu kontynuowania złośliwych operacji, a jednocześnie wydobywające poufne informacje.