Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors CAPI Backdoor

CAPI Backdoor

Por Mezo em Backdoors
Traduzir Para:

Pesquisadores de segurança cibernética descobriram uma nova campanha de malware direcionada aos setores automotivo e de comércio eletrônico da Rússia. O ataque utiliza um malware .NET até então não documentado, agora identificado como CAPI Backdoor, que demonstra técnicas avançadas de evasão e roubo de dados.

Vetor de infecção: Phishing e arquivos ZIP

A cadeia de infecção começa com e-mails de phishing contendo um arquivo ZIP. A análise de um artefato ZIP datado de 3 de outubro de 2025 revelou um documento falso em russo, que se passava por uma notificação relacionada à legislação tributária. Este documento é acompanhado por um arquivo de atalho do Windows (LNK) com o mesmo nome do arquivo: Перерасчет заработной платы 01.10.2025.

Este arquivo LNK executa a DLL backdoor (adobe.dll) por meio de um binário legítimo da Microsoft, rundll32.exe, empregando uma técnica de living-off-the-land (LotL) comumente usada por agentes de ameaças sofisticados.

Capacidades de backdoor: furtividade e roubo de dados

Uma vez executado, o CAPI Backdoor realiza diversas tarefas, mantendo a discrição:

  • Verifica privilégios de administrador
  • Reúne uma lista de produtos antivírus instalados
  • Abre o documento de chamariz como uma distração
  • Conecta-se a um servidor remoto (91.223.75[.]96) para receber comandos adicionais

Os comandos recebidos permitem que o malware:

  • Roubar credenciais e dados de navegadores da web como Google Chrome, Microsoft Edge e Mozilla Firefox
  • Capturar capturas de tela
  • Coletar informações do sistema
  • Enumerar o conteúdo da pasta e exfiltrá-lo para o servidor remoto

Mecanismos de Evasão e Persistência

O CAPI Backdoor utiliza diversas verificações para determinar se está sendo executado em um ambiente virtual ou em um host real. Para persistência, ele utiliza dois métodos:

  • Criando uma tarefa agendada
  • Colocar um arquivo LNK na pasta de inicialização do Windows para iniciar automaticamente a DLL backdoor armazenada na pasta Windows Roaming
  • Essas medidas garantem que o malware permaneça ativo mesmo após a reinicialização do sistema.

    • Atribuição de metas e indicadores

    Especialistas associam a campanha ao setor automobilístico russo devido ao uso do domínio carprlce.ru, provavelmente representando o legítimo carprice.ru.

    O malware em si é uma DLL .NET projetada principalmente como um ladrão, estabelecendo persistência para operações maliciosas contínuas enquanto exfiltra informações confidenciais.

    Tendendo

    Mais visto

    Carregando...