CAPI-бэкдор

Исследователи кибербезопасности обнаружили новую вредоносную кампанию, нацеленную на российский автомобильный сектор и сектор электронной коммерции. Атака использует ранее недокументированное вредоносное ПО .NET, теперь идентифицированное как CAPI Backdoor, которое демонстрирует продвинутые методы обхода систем защиты и кражи данных.

Вектор заражения: фишинг и ZIP-архивы

Цепочка заражения начинается с фишинговых писем, содержащих ZIP-архив. Анализ ZIP-архива от 3 октября 2025 года выявил поддельный русскоязычный документ, выдаваемый за уведомление, связанное с законодательством о подоходном налоге. К этому документу прилагается ярлык Windows (LNK) с тем же именем, что и у архива: «Перерасчёт заработной платы 01.10.2025».

Этот LNK-файл запускает бэкдор-библиотеку DLL (adobe.dll) через легитимный двоичный файл Microsoft rundll32.exe, используя технику «жизни за пределами земли» (LotL), обычно применяемую изощренными злоумышленниками.

Возможности бэкдора: скрытность и кража данных

После запуска CAPI Backdoor выполняет несколько задач, сохраняя при этом скрытность:

• Проверяет наличие прав администратора
• Собирает список установленных антивирусных продуктов
• Открывает документ-обманку для отвлечения внимания.
• Подключается к удаленному серверу (91.223.75[.]96) для получения дополнительных команд

Полученные команды позволяют вредоносному ПО:

• Кража учетных данных и данных из веб-браузеров, таких как Google Chrome, Microsoft Edge и Mozilla Firefox.
• Делайте снимки экрана
• Сбор системной информации
• Перечислить содержимое папок и переместить его на удаленный сервер.

Механизмы уклонения и настойчивости

CAPI Backdoor использует несколько проверок, чтобы определить, работает ли он в виртуальной среде или на реальном хосте. Для обеспечения персистентности используются два метода:

• Создание запланированной задачи
• Размещение LNK-файла в папке автозагрузки Windows для автоматического запуска бэкдор-библиотеки DLL, хранящейся в папке Windows Roaming.

• Эти меры гарантируют, что вредоносное ПО останется активным даже после перезагрузки системы.

Целевая атрибуция и индикаторы

Эксперты связывают кампанию с российским автомобильным сектором из-за использования домена carprlce.ru, который, вероятно, выдает себя за законный carprice.ru.

Сама вредоносная программа представляет собой .NET DLL-библиотеку, разработанную в первую очередь как средство кражи данных, обеспечивающее устойчивость для продолжения вредоносных операций и кражи конфиденциальной информации.