Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate CAPI Backdoor

CAPI Backdoor

Până în Mezo în Ușile din spate
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o nouă campanie de malware care vizează sectoarele auto și de comerț electronic din Rusia. Atacul se bazează pe un malware .NET nedocumentat anterior, identificat acum ca CAPI Backdoor, care demonstrează tehnici avansate de evaziune și furt de date.

Vector de infecție: Phishing și arhive ZIP

Lanțul de infectare începe cu e-mailuri de tip phishing care conțin o arhivă ZIP. Analiza unui artefact ZIP datat 3 octombrie 2025 a dezvăluit un document capcană în limba rusă, care se prezintă drept o notificare referitoare la legislația privind impozitul pe venit. Acest document este însoțit de un fișier de comandă rapidă Windows (LNK) cu același nume ca și arhiva: Перерасчет заработной платы 01.10.2025.

Acest fișier LNK execută DLL-ul backdoor (adobe.dll) printr-un fișier binar Microsoft legitim, rundll32.exe, utilizând o tehnică LotL (living-off-the-land) utilizată în mod obișnuit de actorii de amenințare sofisticați.

Capacități Backdoor: Stealth și furt de date

Odată executat, CAPI Backdoor îndeplinește mai multe sarcini, menținând în același timp ascunderea:

  • Verifică privilegiile de administrator
  • Adună o listă cu produsele antivirus instalate
  • Deschide documentul capcană ca o distragere a atenției
  • Se conectează la un server la distanță (91.223.75[.]96) pentru a primi comenzi suplimentare

Comenzile primite permit malware-ului să:

  • Fură credențiale și date din browsere web precum Google Chrome, Microsoft Edge și Mozilla Firefox
  • Faceți capturi de ecran
  • Colectați informații despre sistem
  • Enumerați conținutul folderului și extrageți-l către serverul la distanță

Mecanisme de evaziune și persistență

CAPI Backdoor utilizează mai multe verificări pentru a determina dacă rulează într-un mediu virtual sau pe o gazdă reală. Pentru persistență, folosește două metode:

  • Crearea unei sarcini programate
  • Plasarea unui fișier LNK în folderul Startup Windows pentru a lansa automat DLL-ul backdoor stocat în folderul Windows Roaming
  • Aceste măsuri asigură că malware-ul rămâne activ chiar și după repornirea sistemului.

    • Atribuirea țintelor și indicatorii

    Experții leagă campania de sectorul auto rusesc datorită utilizării domeniului carprlce.ru, care probabil uzurpă identitatea site-ului legitim carprice.ru.

    Malware-ul în sine este un fișier .NET DLL conceput în principal ca un „stealer”, stabilind persistența pentru operațiuni malițioase continue, în timp ce exfiltrează informații sensibile.

    Trending

    Cele mai văzute

    Se încarcă...