Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka CAPI Backdoor

CAPI Backdoor

Do roku Mezo v roku Zadné vrátka
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú malvérovú kampaň zameranú na ruský automobilový a e-commerce sektor. Útok využíva predtým nezdokumentovaný malvér .NET, teraz identifikovaný ako CAPI Backdoor, ktorý demonštruje pokročilé techniky obchádzania a krádeže údajov.

Vektor infekcie: Phishing a ZIP archívy

Reťazec infekcie začína phishingovými e-mailmi obsahujúcimi ZIP archív. Analýza ZIP artefaktu z 3. októbra 2025 odhalila falošný dokument v ruskom jazyku, ktorý sa vydáva za oznámenie týkajúce sa legislatívy o dani z príjmu. K tomuto dokumentu je priložený súbor skratky systému Windows (LNK) s rovnakým názvom ako archív: Перерасчет заработной платы 01.10.2025.

Tento súbor LNK spúšťa backdoor DLL (adobe.dll) prostredníctvom legitímneho binárneho súboru od spoločnosti Microsoft, rundll32.exe, pričom využíva techniku živiaceho mimo zeme (LotL), ktorú bežne používajú sofistikovaní útočníci.

Schopnosti zadných vrátok: Nenápadnosť a krádež údajov

Po spustení vykonáva CAPI Backdoor viacero úloh a zároveň si zachováva nenápadnosť:

  • Kontroluje oprávnenia správcu
  • Zhromažďuje zoznam nainštalovaných antivírusových produktov
  • Otvorí návnadový dokument ako rozptýlenie
  • Pripája sa k vzdialenému serveru (91.223.75[.]96) a prijíma ďalšie príkazy.

Prijaté príkazy umožňujú malvéru:

  • Kradnúť prihlasovacie údaje a údaje z webových prehliadačov, ako sú Google Chrome, Microsoft Edge a Mozilla Firefox
  • Zachytávanie snímok obrazovky
  • Zhromažďovanie systémových informácií
  • Vymenovať obsah priečinkov a exfiltrovať ho na vzdialený server

Mechanizmy úniku a vytrvalosti

Backdoor CAPI využíva niekoľko kontrol na určenie, či beží vo virtuálnom prostredí alebo na skutočnom hostiteľovi. Pre perzistenciu používa dve metódy:

  • Vytvorenie naplánovanej úlohy
  • Umiestnenie súboru LNK do priečinka Po spustení systému Windows na automatické spustenie knižnice DLL backdoor uloženej v priečinku Windows Roaming
  • Tieto opatrenia zabezpečujú, že škodlivý softvér zostane aktívny aj po reštarte systému.

    • Priradenie cieľov a ukazovatele

    Odborníci spájajú kampaň s ruským automobilovým sektorom kvôli používaniu domény carprlce.ru, ktorá sa pravdepodobne vydáva za legitímnu doménu carprice.ru.

    Samotný malvér je knižnica .NET DLL navrhnutá predovšetkým ako útočník, ktorý zabezpečuje perzistenciu pre pokračujúce škodlivé operácie a zároveň odcudzuje citlivé informácie.

    Trendy

    Najviac videné

    Načítava...