Backdoor ng CAPI
Natuklasan ng mga mananaliksik ng cybersecurity ang isang bagong kampanyang malware na naglalayong sa mga sektor ng sasakyan at e-commerce ng Russia. Ang pag-atake ay gumagamit ng dati nang hindi dokumentado na .NET malware, na kinilala ngayon bilang CAPI Backdoor, na nagpapakita ng advanced na pag-iwas at mga diskarte sa pagnanakaw ng data.
Talaan ng mga Nilalaman
Infection Vector: Phishing at ZIP Archives
Nagsisimula ang chain ng impeksyon sa mga phishing na email na may dalang ZIP archive. Ang pagsusuri sa isang ZIP artifact na may petsang Oktubre 3, 2025, ay nagsiwalat ng isang decoy na dokumento sa wikang Russian na nagpapanggap bilang isang abiso na nauugnay sa batas sa buwis sa kita. Kasama sa dokumentong ito ang Windows shortcut (LNK) file na may parehong pangalan sa archive: Перерасчет заработной платы 01.10.2025.
Ang LNK file na ito ay nagpapatupad ng backdoor DLL (adobe.dll) sa pamamagitan ng isang lehitimong Microsoft binary, rundll32.exe, na gumagamit ng living-off-the-land (LotL) na pamamaraan na karaniwang ginagamit ng mga sopistikadong aktor ng pagbabanta.
Mga Kakayahang Backdoor: Stealth at Pagnanakaw ng Data
Kapag naisakatuparan, ang CAPI Backdoor ay nagsasagawa ng maraming gawain habang pinapanatili ang stealth:
- Sinusuri ang mga pribilehiyo ng administrator
- Kumukuha ng listahan ng mga naka-install na produkto ng antivirus
- Binubuksan ang dokumento ng decoy bilang isang distraction
- Kumokonekta sa isang malayuang server (91.223.75[.]96) upang makatanggap ng mga karagdagang command
Ang mga natanggap na utos ay nagbibigay-daan sa malware na:
- Magnakaw ng mga kredensyal at data mula sa mga web browser gaya ng Google Chrome, Microsoft Edge, at Mozilla Firefox
- Kumuha ng mga screenshot
- Kolektahin ang impormasyon ng system
- Isa-isahin ang mga nilalaman ng folder at i-exfiltrate ang mga ito sa malayong server
Mga Mekanismo ng Pag-iwas at Pagtitiyaga
Ang CAPI Backdoor ay gumagamit ng ilang mga pagsusuri upang matukoy kung ito ay tumatakbo sa isang virtual na kapaligiran o sa isang tunay na host. Para sa pagtitiyaga, gumagamit ito ng dalawang pamamaraan:
- Paglikha ng nakaiskedyul na gawain
- Paglalagay ng LNK file sa Windows Startup folder para awtomatikong ilunsad ang backdoor DLL na nakaimbak sa Windows Roaming folder
- Tinitiyak ng mga hakbang na ito na nananatiling aktibo ang malware kahit na pagkatapos mag-reboot ang system.
Target na Pagpapatungkol at Mga Tagapagpahiwatig
Iniugnay ng mga eksperto ang kampanya sa sektor ng sasakyan ng Russia dahil sa paggamit ng domain na carprlce.ru, na malamang na nagpapanggap bilang lehitimong carprice.ru.
Ang malware mismo ay isang .NET DLL na pangunahing idinisenyo bilang isang magnanakaw, na nagtatatag ng pagtitiyaga para sa patuloy na mga nakakahamak na operasyon habang naglalabas ng sensitibong impormasyon.
