CAPI Arka Kapısı
Siber güvenlik araştırmacıları, Rus otomotiv ve e-ticaret sektörlerini hedef alan yeni bir kötü amaçlı yazılım saldırısını ortaya çıkardı. Saldırı, daha önce belgelenmemiş ve artık CAPI Backdoor olarak tanımlanan bir .NET kötü amaçlı yazılımından yararlanıyor ve gelişmiş kaçınma ve veri hırsızlığı teknikleri sergiliyor.
İçindekiler
Enfeksiyon Vektörü: Kimlik Avı ve ZIP Arşivleri
Enfeksiyon zinciri, bir ZIP arşivi taşıyan kimlik avı e-postalarıyla başlıyor. 3 Ekim 2025 tarihli bir ZIP dosyasının analizi, gelir vergisi mevzuatıyla ilgili bir bildirim gibi görünen sahte bir Rusça belgeyi ortaya çıkardı. Bu belgeye, arşivle aynı adı taşıyan bir Windows kısayol (LNK) dosyası eşlik ediyor: Перерасчет заработной платы 01.10.2025.
Bu LNK dosyası, karmaşık tehdit aktörleri tarafından yaygın olarak kullanılan bir "yaşam dışı" (LotL) tekniğini kullanarak, meşru bir Microsoft ikili dosyası olan rundll32.exe aracılığıyla arka kapı DLL'sini (adobe.dll) çalıştırır.
Arka Kapı Yetenekleri: Gizlilik ve Veri Hırsızlığı
CAPI Backdoor çalıştırıldığında gizliliği koruyarak birden fazla görevi gerçekleştirir:
- Yönetici ayrıcalıklarını kontrol eder
- Yüklü antivirüs ürünlerinin bir listesini toplar
- Dikkat dağıtmak için sahte belgeyi açar
- Ek komutlar almak için uzak bir sunucuya (91.223.75[.]96) bağlanır
Alınan komutlar kötü amaçlı yazılımın şunları yapmasını sağlar:
- Google Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarından kimlik bilgilerini ve verileri çalın
- Ekran görüntüleri yakalayın
- Sistem bilgilerini toplayın
- Klasör içeriklerini numaralandırın ve bunları uzak sunucuya aktarın
Kaçınma ve Kalıcılık Mekanizmaları
CAPI Backdoor, sanal bir ortamda mı yoksa gerçek bir ana bilgisayarda mı çalıştığını belirlemek için çeşitli kontroller kullanır. Kalıcılık için iki yöntem kullanır:
- Zamanlanmış bir görev oluşturma
- Windows Roaming klasöründe saklanan arka kapı DLL'sini otomatik olarak başlatmak için Windows Başlangıç klasörüne bir LNK dosyası yerleştirme
- Bu önlemler, kötü amaçlı yazılımın sistem yeniden başlatıldıktan sonra bile etkin kalmasını sağlar.
Hedef Atıfı ve Göstergeler
Uzmanlar, kampanyanın carprlce.ru alan adının kullanılması nedeniyle Rus otomobil sektörüyle bağlantılı olduğunu ve muhtemelen meşru olan carprice.ru adresini taklit ettiğini ileri sürüyor.
Kötü amaçlı yazılımın kendisi, esas olarak bir hırsız olarak tasarlanmış bir .NET DLL'dir ve hassas bilgileri sızdırırken kötü amaçlı işlemlerin devamlılığını sağlar.
