Rabattoffert för flera licenser
Hotdatabas Bakdörrar CAPI-bakdörr

CAPI-bakdörr

Med Mezo år Bakdörrar
Översätt till:

Cybersäkerhetsforskare har avslöjat en ny kampanj inom skadlig kod riktad mot den ryska bil- och e-handelssektorn. Attacken utnyttjar en tidigare odokumenterad .NET-skadlig kod, nu identifierad som CAPI Backdoor, som demonstrerar avancerade tekniker för dataintrång och datastöld.

Infektionsvektor: Nätfiske och ZIP-arkiv

Infektionskedjan börjar med nätfiskemejl som innehåller ett ZIP-arkiv. Analys av en ZIP-artefakt daterad 3 oktober 2025 avslöjade ett ryskspråkigt dokument som utgav sig för att vara en anmälan relaterad till inkomstskattelagstiftning. Till detta dokument bifogas en Windows-genvägsfil (LNK) med samma namn som arkivet: Перерасчет заработной платы 01.10.2025.

Denna LNK-fil kör bakdörrs-DLL:n (adobe.dll) via en legitim Microsoft-binärfil, rundll32.exe, med hjälp av en "living-off-the-land"-teknik (LotL) som vanligtvis används av sofistikerade hotaktörer.

Bakdörrsfunktioner: Stealth och datastöld

När den väl är körd utför CAPI Backdoor flera uppgifter samtidigt som den bibehåller stealth:

  • Kontrollerar administratörsbehörigheter
  • Samlar in en lista över installerade antivirusprodukter
  • Öppnar lockbetedokumentet som en distraktion
  • Ansluter till en fjärrserver (91.223.75[.]96) för att ta emot ytterligare kommandon

De mottagna kommandona gör det möjligt för skadlig programvara att:

  • Stjäla inloggningsuppgifter och data från webbläsare som Google Chrome, Microsoft Edge och Mozilla Firefox
  • Ta skärmdumpar
  • Samla in systeminformation
  • Räkna upp mappinnehållet och exfiltrera det till fjärrservern

Undviknings- och uthållighetsmekanismer

CAPI Backdoor använder flera kontroller för att avgöra om den körs i en virtuell miljö eller på en riktig värd. För persistens använder den två metoder:

  • Skapa en schemalagd uppgift
  • Placera en LNK-fil i Windows startmapp för att automatiskt starta bakdörrs-DLL:n som lagras i Windows Roaming-mappen
  • Dessa åtgärder säkerställer att skadlig programvara förblir aktiv även efter att systemet har startats om.

Målattribution och indikatorer

Experter kopplar kampanjen till den ryska bilsektorn på grund av användningen av domänen carprlce.ru, som troligen utger sig för att vara den legitima domänen carprice.ru.

Själva skadliga programvaran är en .NET DLL som främst är utformad som en stöld, som etablerar persistens för fortsatt skadlig verksamhet samtidigt som den stjäl känslig information.

Trendigt

Mest sedda

Läser in...