CAPI బ్యాక్డోర్
సైబర్ సెక్యూరిటీ పరిశోధకులు రష్యన్ ఆటోమొబైల్ మరియు ఇ-కామర్స్ రంగాలను లక్ష్యంగా చేసుకుని ఒక కొత్త మాల్వేర్ ప్రచారాన్ని కనుగొన్నారు. ఈ దాడి గతంలో నమోదుకాని .NET మాల్వేర్ను ప్రభావితం చేస్తుంది, ఇప్పుడు CAPI బ్యాక్డోర్గా గుర్తించబడింది, ఇది అధునాతన ఎగవేత మరియు డేటా దొంగతనం పద్ధతులను ప్రదర్శిస్తుంది.
విషయ సూచిక
ఇన్ఫెక్షన్ వెక్టర్: ఫిషింగ్ మరియు జిప్ ఆర్కైవ్స్
ఈ ఇన్ఫెక్షన్ గొలుసు జిప్ ఆర్కైవ్ను మోసుకెళ్లే ఫిషింగ్ ఇమెయిల్లతో ప్రారంభమవుతుంది. అక్టోబర్ 3, 2025 నాటి జిప్ ఆర్టిఫ్యాక్ట్ యొక్క విశ్లేషణ, ఆదాయపు పన్ను చట్టానికి సంబంధించిన నోటిఫికేషన్గా నటిస్తున్న ఒక మోసపూరిత రష్యన్ భాషా పత్రాన్ని వెల్లడించింది. ఈ పత్రంతో పాటు ఆర్కైవ్ పేరుతోనే విండోస్ షార్ట్కట్ (LNK) ఫైల్ ఉంది: Перерасчет заработной платы 01.10.2025.
ఈ LNK ఫైల్ బ్యాక్డోర్ DLL (adobe.dll) ను చట్టబద్ధమైన Microsoft బైనరీ, rundll32.exe ద్వారా అమలు చేస్తుంది, ఇది అధునాతన బెదిరింపు నటులు సాధారణంగా ఉపయోగించే లివింగ్-ఆఫ్-ది-ల్యాండ్ (LotL) టెక్నిక్ను ఉపయోగిస్తుంది.
బ్యాక్డోర్ సామర్థ్యాలు: స్టీల్త్ మరియు డేటా దొంగతనం
ఒకసారి అమలు చేయబడిన తర్వాత, CAPI బ్యాక్డోర్ స్టెల్త్ను కొనసాగిస్తూ బహుళ పనులను నిర్వహిస్తుంది:
- నిర్వాహక అధికారాల కోసం తనిఖీలు
- ఇన్స్టాల్ చేయబడిన యాంటీవైరస్ ఉత్పత్తుల జాబితాను సేకరిస్తుంది.
- డికాయ్ డాక్యుమెంట్ను డిస్ట్రాక్షన్గా తెరుస్తుంది
- అదనపు ఆదేశాలను స్వీకరించడానికి రిమోట్ సర్వర్ (91.223.75[.]96)కి కనెక్ట్ అవుతుంది.
అందుకున్న ఆదేశాలు మాల్వేర్ను వీటిని చేయగలవు:
- గూగుల్ క్రోమ్, మైక్రోసాఫ్ట్ ఎడ్జ్ మరియు మొజిల్లా ఫైర్ఫాక్స్ వంటి వెబ్ బ్రౌజర్ల నుండి ఆధారాలు మరియు డేటాను దొంగిలించండి
- స్క్రీన్షాట్లను క్యాప్చర్ చేయండి
- సిస్టమ్ సమాచారాన్ని సేకరించండి
- ఫోల్డర్ కంటెంట్లను లెక్కించి, వాటిని రిమోట్ సర్వర్కు పంపండి.
ఎగవేత మరియు పట్టుదల విధానాలు
CAPI బ్యాక్డోర్ వర్చువల్ వాతావరణంలో నడుస్తుందా లేదా నిజమైన హోస్ట్లో నడుస్తుందా అని నిర్ణయించడానికి అనేక తనిఖీలను ఉపయోగిస్తుంది. నిలకడ కోసం, ఇది రెండు పద్ధతులను ఉపయోగిస్తుంది:
- షెడ్యూల్ చేయబడిన పనిని సృష్టించడం
లక్ష్య లక్షణం మరియు సూచికలు
carprlce.ru డొమైన్ వాడకం కారణంగా నిపుణులు ఈ ప్రచారాన్ని రష్యన్ ఆటోమొబైల్ రంగానికి లింక్ చేస్తున్నారు, ఇది చట్టబద్ధమైన carprice.ru లాగా నటించే అవకాశం ఉంది.
మాల్వేర్ అనేది ప్రధానంగా దొంగతనం కోసం రూపొందించబడిన .NET DLL, ఇది సున్నితమైన సమాచారాన్ని బయటకు పంపుతూనే నిరంతర హానికరమైన కార్యకలాపాలకు నిలకడను ఏర్పరుస్తుంది.
