Попуст за више лиценци
Тхреат Датабасе Бацкдоорс CAPI задња врата

CAPI задња врата

До Mezo. у Бацкдоорс
Преведи на:

Истраживачи сајбер безбедности открили су нову кампању злонамерног софтвера усмерену на руски аутомобилски и електронски трговински сектор. Напад користи раније недокументовани .NET злонамерни софтвер, сада идентификован као CAPI Backdoor, који демонстрира напредне технике избегавања и крађе података.

Вектор инфекције: Фишинг и ZIP архиве

Ланац инфекције почиње фишинг имејловима који садрже ZIP архиву. Анализом ZIP артефакта од 3. октобра 2025. године откривен је лажни документ на руском језику који се представља као обавештење у вези са законом о порезу на доходак. Уз овај документ долази Windows пречица (LNK) са истим именом као и архива: Перерасчет заработной платы 01.10.2025.

Ова LNK датотека извршава бекдор DLL (adobe.dll) путем легитимне Microsoft бинарне датотеке, rundll32.exe, користећи технику „живљења ван земље“ (LotL) коју често користе софистицирани актери претње.

Могућности заштитних врата: Прикривеност и крађа података

Једном покренут, CAPI Backdoor обавља више задатака уз одржавање прикривености:

  • Проверава администраторска права
  • Прикупља листу инсталираних антивирусних производа
  • Отвара документ мамац као дистракцију
  • Повезује се са удаљеним сервером (91.223.75[.]96) ради примања додатних команди

Примљене команде омогућавају злонамерном софтверу да:

  • Краду акредитиве и податке из веб прегледача као што су Google Chrome, Microsoft Edge и Mozilla Firefox
  • Снимање снимака екрана
  • Прикупљање системских информација
  • Набројте садржај фасцикле и пребаците га на удаљени сервер

Механизми избегавања и истрајности

CAPI Backdoor користи неколико провера да би утврдио да ли ради у виртуелном окружењу или на стварном хосту. За перзистентност користи две методе:

  • Креирање заказаног задатка
  • Постављање LNK датотеке у фолдер за покретање система Windows да би се аутоматски покренула бекдор DLL библиотека сачувана у фолдеру Windows Roaming
  • Ове мере осигуравају да злонамерни софтвер остане активан чак и након поновног покретања система.

Атрибуција циљева и индикатори

Стручњаци повезују кампању са руским аутомобилским сектором због коришћења домена carprlce.ru, вероватно лажно представљајући легитимни carprice.ru.

Сам злонамерни софтвер је .NET DLL дизајниран првенствено као крађа, успостављајући перзистентност за континуиране злонамерне операције док истовремено краде осетљиве информације.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
33,602
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...