แบ็คดอร์ CAPI
นักวิจัยด้านความปลอดภัยไซเบอร์ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปที่ภาคยานยนต์และอีคอมเมิร์ซของรัสเซีย การโจมตีครั้งนี้ใช้ประโยชน์จากมัลแวร์ .NET ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งปัจจุบันถูกระบุว่าเป็น CAPI Backdoor ซึ่งแสดงให้เห็นถึงเทคนิคการหลบเลี่ยงและขโมยข้อมูลขั้นสูง
สารบัญ
เวกเตอร์การติดเชื้อ: ฟิชชิ่งและไฟล์ ZIP
ห่วงโซ่การติดเชื้อเริ่มต้นจากอีเมลฟิชชิ่งที่มีไฟล์เก็บถาวรแบบ ZIP การวิเคราะห์ไฟล์ ZIP ลงวันที่ 3 ตุลาคม 2568 เผยให้เห็นเอกสารหลอกลวงเป็นภาษารัสเซียที่ปลอมตัวเป็นข้อความแจ้งเตือนเกี่ยวกับกฎหมายภาษีเงินได้ เอกสารนี้มาพร้อมกับไฟล์ทางลัดของ Windows (LNK) ที่มีชื่อเดียวกับไฟล์เก็บถาวร: Перерасчет заработной платы 01.10.2025
ไฟล์ LNK นี้จะดำเนินการ DLL แบ็คดอร์ (adobe.dll) ผ่านไฟล์ไบนารีของ Microsoft ที่ถูกต้องตามกฎหมายคือ rundll32.exe ซึ่งใช้เทคนิคการใช้ชีวิตนอกพื้นที่ (LotL) ซึ่งใช้กันทั่วไปโดยผู้ก่อภัยคุกคามที่ซับซ้อน
ความสามารถของประตูหลัง: การซ่อนตัวและการโจรกรรมข้อมูล
เมื่อดำเนินการแล้ว CAPI Backdoor จะดำเนินการหลายงานพร้อมทั้งรักษาความลับไว้:
- ตรวจสอบสิทธิ์ของผู้ดูแลระบบ
- รวบรวมรายชื่อผลิตภัณฑ์ป้องกันไวรัสที่ติดตั้ง
- เปิดเอกสารล่อหลอกเพื่อเบี่ยงเบนความสนใจ
- เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกล (91.223.75[.]96) เพื่อรับคำสั่งเพิ่มเติม
คำสั่งที่ได้รับจะทำให้มัลแวร์สามารถ:
- ขโมยข้อมูลประจำตัวและข้อมูลจากเว็บเบราว์เซอร์ เช่น Google Chrome, Microsoft Edge และ Mozilla Firefox
- จับภาพหน้าจอ
- รวบรวมข้อมูลระบบ
- ระบุเนื้อหาของโฟลเดอร์และส่งออกไปยังเซิร์ฟเวอร์ระยะไกล
กลไกการหลีกเลี่ยงและการคงอยู่
CAPI Backdoor ใช้การตรวจสอบหลายขั้นตอนเพื่อตรวจสอบว่ากำลังทำงานในสภาพแวดล้อมเสมือนหรือบนโฮสต์จริง สำหรับความต่อเนื่อง จะใช้สองวิธี:
- การสร้างงานที่กำหนดเวลาไว้
การระบุเป้าหมายและตัวบ่งชี้
ผู้เชี่ยวชาญเชื่อมโยงแคมเปญนี้กับภาคส่วนยานยนต์ของรัสเซียเนื่องจากการใช้โดเมน carprlce.ru ซึ่งอาจแอบอ้างเป็น carprice.ru ที่ถูกต้องตามกฎหมาย
มัลแวร์นั้นเป็น .NET DLL ที่ออกแบบมาโดยเฉพาะเพื่อขโมยข้อมูล โดยสร้างความคงอยู่สำหรับการดำเนินการที่เป็นอันตรายอย่างต่อเนื่องในขณะที่ขโมยข้อมูลที่ละเอียดอ่อน
