Бекдор CAPI
Дослідники з кібербезпеки виявили нову кампанію шкідливого програмного забезпечення, спрямовану на російський автомобільний сектор та сектор електронної комерції. Атака використовує раніше недокументоване шкідливе програмне забезпечення .NET, яке тепер ідентифіковане як CAPI Backdoor, що демонструє передові методи ухилення від контролю та крадіжки даних.
Зміст
Вектор зараження: фішинг та ZIP-архіви
Ланцюг зараження починається з фішингових електронних листів, що містять ZIP-архів. Аналіз ZIP-артефакту від 3 жовтня 2025 року виявив підроблений російськомовний документ, що видавався за повідомлення, пов’язане із законодавством про податок на прибуток. До документа додається файл ярлика Windows (LNK) з такою ж назвою, як і в архіву: Перерасчет заработной платы 01.10.2025.
Цей LNK-файл виконує бекдор-DLL (adobe.dll) через легітимний бінарний файл Microsoft, rundll32.exe, використовуючи техніку «живи поза землею» (LotL), яку зазвичай використовують досвідчені зловмисники.
Можливості бекдору: прихованість та крадіжка даних
Після запуску CAPI Backdoor виконує кілька завдань, зберігаючи прихованість:
- Перевіряє наявність прав адміністратора
- Збирає список встановлених антивірусних продуктів
- Відкриває документ-приманку як відволікаючий фактор
- Підключається до віддаленого сервера (91.223.75[.]96) для отримання додаткових команд
Отримані команди дозволяють шкідливому програмному забезпеченню:
- Крадіжка облікових даних та даних з веббраузерів, таких як Google Chrome, Microsoft Edge та Mozilla Firefox
- Зробити скріншоти
- Збирати системну інформацію
- Перерахувати вміст папок та винести його на віддалений сервер
Механізми ухилення та збереження
Бекдор CAPI використовує кілька перевірок, щоб визначити, чи працює він у віртуальному середовищі, чи на реальному хості. Для збереження даних він використовує два методи:
- Створення запланованого завдання
- Розміщення LNK-файлу в папці автозавантаження Windows для автоматичного запуску бекдор-DLL, що зберігається в папці роумінгу Windows
- Ці заходи гарантують, що шкідливе програмне забезпечення залишатиметься активним навіть після перезавантаження системи.
Цільова атрибуція та показники
Експерти пов'язують кампанію з російським автомобільним сектором через використання домену carprlce.ru, який, ймовірно, видає себе за легітимний carprice.ru.
Саме шкідливе програмне забезпечення являє собою .NET DLL, розроблену в першу чергу як викрадач, що забезпечує стійкість для продовження шкідливих операцій, одночасно викрадаючи конфіденційну інформацію.
