CAPI பின்னணி கதவு

ரஷ்ய ஆட்டோமொபைல் மற்றும் மின் வணிகத் துறைகளை இலக்காகக் கொண்ட ஒரு புதிய தீம்பொருள் பிரச்சாரத்தை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்தத் தாக்குதல் முன்னர் ஆவணப்படுத்தப்படாத .NET தீம்பொருளைப் பயன்படுத்துகிறது, இது இப்போது CAPI Backdoor என அடையாளம் காணப்பட்டுள்ளது, இது மேம்பட்ட ஏய்ப்பு மற்றும் தரவு திருட்டு நுட்பங்களை நிரூபிக்கிறது.

தொற்று திசையன்: ஃபிஷிங் மற்றும் ஜிப் காப்பகங்கள்

இந்த தொற்று சங்கிலி, ஒரு ZIP காப்பகத்தை சுமந்து செல்லும் ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்குகிறது. அக்டோபர் 3, 2025 தேதியிட்ட ஒரு ZIP கலைப்பொருளின் பகுப்பாய்வில், வருமான வரி சட்டம் தொடர்பான அறிவிப்பாகக் காட்டிக்கொள்ளும் ஒரு ஏமாற்று ரஷ்ய மொழி ஆவணம் வெளிப்பட்டது. இந்த ஆவணத்துடன் காப்பகத்தின் அதே பெயரில் ஒரு Windows குறுக்குவழி (LNK) கோப்பு உள்ளது: Перерасчет заработной платы 01.10.2025.

இந்த LNK கோப்பு, rundll32.exe என்ற முறையான மைக்ரோசாஃப்ட் பைனரி மூலம் பின்கதவு DLL (adobe.dll) ஐ செயல்படுத்துகிறது, இது அதிநவீன அச்சுறுத்தல் நடிகர்களால் பொதுவாகப் பயன்படுத்தப்படும் ஒரு living-of-the-land (LotL) நுட்பத்தைப் பயன்படுத்துகிறது.

பின்புறக் கதவு திறன்கள்: திருட்டுத்தனம் மற்றும் தரவுத் திருட்டு

செயல்படுத்தப்பட்டதும், CAPI Backdoor திருட்டுத்தனத்தைப் பராமரிக்கும் போது பல பணிகளைச் செய்கிறது:

• நிர்வாகி சலுகைகளுக்கான சரிபார்ப்புகள்
• நிறுவப்பட்ட வைரஸ் தடுப்பு தயாரிப்புகளின் பட்டியலைச் சேகரிக்கிறது.
• கவனச்சிதறலாக டிகோய் ஆவணத்தைத் திறக்கிறது.
• கூடுதல் கட்டளைகளைப் பெற தொலை சேவையகத்துடன் (91.223.75[.]96) இணைகிறது.

பெறப்பட்ட கட்டளைகள் தீம்பொருளை பின்வருவனவற்றைச் செய்யச் செய்கின்றன:

• கூகிள் குரோம், மைக்ரோசாஃப்ட் எட்ஜ் மற்றும் மொஸில்லா பயர்பாக்ஸ் போன்ற வலை உலாவிகளில் இருந்து சான்றுகள் மற்றும் தரவைத் திருடுங்கள்.
• ஸ்கிரீன்ஷாட்களைப் படமெடுங்கள்
• கணினித் தகவலைச் சேகரிக்கவும்
• கோப்புறை உள்ளடக்கங்களை எண்ணி, அவற்றை தொலை சேவையகத்திற்கு அனுப்பவும்.

ஏய்ப்பு மற்றும் நிலைத்தன்மை வழிமுறைகள்

CAPI Backdoor மெய்நிகர் சூழலில் இயங்குகிறதா அல்லது உண்மையான ஹோஸ்டில் இயங்குகிறதா என்பதைத் தீர்மானிக்க பல சரிபார்ப்புகளைப் பயன்படுத்துகிறது. நிலைத்தன்மைக்கு, இது இரண்டு முறைகளைப் பயன்படுத்துகிறது:

• திட்டமிடப்பட்ட பணியை உருவாக்குதல்

இலக்கு பண்புக்கூறு மற்றும் குறிகாட்டிகள்

carprlce.ru என்ற டொமைனைப் பயன்படுத்துவதால், இந்த பிரச்சாரத்தை ரஷ்ய ஆட்டோமொபைல் துறையுடன் இணைக்கிறார்கள் என்று நிபுணர்கள் கூறுகின்றனர், இது சட்டப்பூர்வமான carprice.ru ஐப் போல ஆள்மாறாட்டம் செய்யக்கூடும்.

தீம்பொருள் என்பது ஒரு .NET DLL ஆகும், இது முதன்மையாக ஒரு திருடனாக வடிவமைக்கப்பட்டுள்ளது, இது முக்கியமான தகவல்களை வெளியேற்றும் அதே வேளையில் தொடர்ச்சியான தீங்கிழைக்கும் செயல்பாடுகளுக்கான நிலைத்தன்மையை நிறுவுகிறது.