Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme CAPI Backdoor

CAPI Backdoor

Nga MezoDyer të pasme
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të re programesh keqdashëse që synojnë sektorët rusë të automobilave dhe tregtisë elektronike. Sulmi shfrytëzon një program keqdashës .NET të padokumentuar më parë, tani të identifikuar si CAPI Backdoor, i cili demonstron teknika të avancuara të shmangies dhe vjedhjes së të dhënave.

Vektori i Infeksionit: Phishing dhe Arkivat ZIP

Zinxhiri i infeksionit fillon me email-e phishing që përmbajnë një arkiv ZIP. Analiza e një objekti ZIP të datës 3 tetor 2025 zbuloi një dokument mashtrues në gjuhën ruse që paraqitej si një njoftim në lidhje me legjislacionin e tatimit mbi të ardhurat. Bashkëngjitur këtij dokumenti është një skedar shkurtesash të Windows (LNK) me të njëjtin emër si arkivi: Periudha e pagesës së paguar 01.10.2025.

Ky skedar LNK ekzekuton skedarin DLL të derës së prapme (adobe.dll) përmes një skedari binar legjitim të Microsoft-it, rundll32.exe, duke përdorur një teknikë "living-off-the-land" (LotL) që përdoret zakonisht nga aktorë kërcënues të sofistikuar.

Aftësitë e derës së pasme: Vjedhja e të dhënave dhe fshehtësia

Pasi ekzekutohet, CAPI Backdoor kryen detyra të shumta duke ruajtur fshehtësinë:

  • Kontrollon për privilegjet e administratorit
  • Mbledh një listë të produkteve antivirus të instaluara
  • Hap dokumentin e karremit si një shpërqendrim
  • Lidhet me një server të largët (91.223.75[.]96) për të marrë komanda shtesë

Komandat e marra i mundësojnë programit keqdashës të:

  • Vjedhni kredencialet dhe të dhënat nga shfletuesit e internetit si Google Chrome, Microsoft Edge dhe Mozilla Firefox
  • Kap pamje të ekranit
  • Mbledh informacionin e sistemit
  • Numëroni përmbajtjen e dosjeve dhe transferoni ato në serverin e largët

Mekanizmat e Shmangies dhe Qëndrueshmërisë

CAPI Backdoor përdor disa kontrolle për të përcaktuar nëse po funksionon në një mjedis virtual apo në një host real. Për qëndrueshmëri, ai përdor dy metoda:

  • Krijimi i një detyre të planifikuar
  • Vendosja e një skedari LNK në dosjen Windows Startup për të nisur automatikisht DLL-në e prapme të ruajtur në dosjen Windows Roaming.
  • Këto masa sigurojnë që programi keqdashës të mbetet aktiv edhe pas rinisjes së sistemit.

    • Atribuimi i Synuar dhe Treguesit

    Ekspertët e lidhin fushatën me sektorin rus të automobilave për shkak të përdorimit të domenit carprlce.ru, i cili me shumë gjasa imiton domenin legjitim carprice.ru.

    Vetë programi keqdashës është një skedar DLL .NET i projektuar kryesisht si një skedar vjedhës, duke krijuar qëndrueshmëri për operacione të vazhdueshme keqdashëse ndërsa nxjerr informacione të ndjeshme.

    Në trend

    Më e shikuara

    Po ngarkohet...