CAPI zadnja vrata
Raziskovalci kibernetske varnosti so odkrili novo kampanjo zlonamerne programske opreme, namenjeno ruskemu avtomobilskemu sektorju in sektorju e-trgovine. Napad izkorišča prej nedokumentirano zlonamerno programsko opremo .NET, ki je zdaj prepoznana kot CAPI Backdoor in prikazuje napredne tehnike izogibanja in kraje podatkov.
Kazalo
Vektor okužbe: lažno predstavljanje in arhivi ZIP
Veriga okužbe se začne z lažnimi e-poštnimi sporočili, ki vsebujejo arhiv ZIP. Analiza artefakta ZIP z dne 3. oktobra 2025 je razkrila lažni dokument v ruskem jeziku, ki se je izdajal za obvestilo v zvezi z zakonodajo o dohodnini. Temu dokumentu je priložena datoteka bližnjice sistema Windows (LNK) z istim imenom kot arhiv: Перерасчет заработной платы 01.10.2025.
Ta datoteka LNK izvaja DLL (adobe.dll) z vrati prek legitimne Microsoftove binarne datoteke rundll32.exe, pri čemer uporablja tehniko preživetja na zemlji (LotL), ki jo pogosto uporabljajo prefinjeni akterji grožnje.
Zmogljivosti zadnjih vrat: prikritost in kraja podatkov
Ko se CAPI Backdoor enkrat izvede, opravi več nalog, hkrati pa ohranja prikritost:
- Preveri skrbniške pravice
- Zbere seznam nameščenih protivirusnih izdelkov
- Odpre dokument z vabo kot moteč element
- Poveže se z oddaljenim strežnikom (91.223.75[.]96) za prejemanje dodatnih ukazov
Prejeti ukazi omogočajo zlonamerni programski opremi:
- Kraja poverilnic in podatkov iz spletnih brskalnikov, kot so Google Chrome, Microsoft Edge in Mozilla Firefox
- Zajemanje posnetkov zaslona
- Zbiranje sistemskih informacij
- Naštejte vsebino mape in jo prenesite na oddaljeni strežnik
Mehanizmi izogibanja in vztrajnosti
CAPI Backdoor uporablja več preverjanj, da ugotovi, ali deluje v virtualnem okolju ali na resničnem gostitelju. Za vztrajnost uporablja dve metodi:
- Ustvarjanje načrtovane naloge
- Namestitev datoteke LNK v mapo zagona sistema Windows za samodejni zagon DLL-ja zakulisja, shranjenega v mapi gostovanja sistema Windows
- Ti ukrepi zagotavljajo, da zlonamerna programska oprema ostane aktivna tudi po ponovnem zagonu sistema.
Dodeljevanje ciljev in kazalniki
Strokovnjaki kampanjo povezujejo z ruskim avtomobilskim sektorjem zaradi uporabe domene carprlce.ru, ki se verjetno izdaja za legitimno spletno mesto carprice.ru.
Zlonamerna programska oprema sama po sebi je .NET DLL, zasnovana predvsem kot krajo podatkov, ki vzpostavlja vztrajnost za nadaljnje zlonamerne operacije, hkrati pa izkorišča občutljive informacije.
