Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Cửa sau Cửa sau CAPI

Cửa sau CAPI

Đến năm Mezo năm Cửa sau
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới nhắm vào ngành ô tô và thương mại điện tử của Nga. Cuộc tấn công này sử dụng một phần mềm độc hại .NET chưa được ghi nhận trước đây, hiện được xác định là CAPI Backdoor, cho thấy các kỹ thuật ẩn náu và đánh cắp dữ liệu tiên tiến.

Vectơ lây nhiễm: Lừa đảo và lưu trữ ZIP

Chuỗi lây nhiễm bắt đầu bằng các email lừa đảo chứa tệp ZIP. Phân tích một tệp ZIP có ngày 3 tháng 10 năm 2025 đã phát hiện ra một tài liệu tiếng Nga giả mạo thông báo liên quan đến luật thuế thu nhập. Tài liệu này đi kèm với một tệp lối tắt Windows (LNK) có cùng tên với tệp lưu trữ: Перерасчет заработной платы 01.10.2025.

Tệp LNK này thực thi DLL cửa hậu (adobe.dll) thông qua tệp nhị phân Microsoft hợp pháp, rundll32.exe, sử dụng kỹ thuật sống ngoài thực địa (LotL) thường được các tác nhân đe dọa tinh vi sử dụng.

Khả năng cửa sau: Tàng hình và đánh cắp dữ liệu

Sau khi được thực thi, CAPI Backdoor thực hiện nhiều nhiệm vụ trong khi vẫn duy trì tính ẩn:

  • Kiểm tra quyền quản trị viên
  • Thu thập danh sách các sản phẩm diệt vi-rút đã cài đặt
  • Mở tài liệu mồi nhử để đánh lạc hướng
  • Kết nối với máy chủ từ xa (91.223.75[.]96) để nhận các lệnh bổ sung

Các lệnh nhận được cho phép phần mềm độc hại:

  • Đánh cắp thông tin đăng nhập và dữ liệu từ các trình duyệt web như Google Chrome, Microsoft Edge và Mozilla Firefox
  • Chụp ảnh màn hình
  • Thu thập thông tin hệ thống
  • Liệt kê nội dung thư mục và chuyển chúng đến máy chủ từ xa

Cơ chế trốn tránh và kiên trì

CAPI Backdoor sử dụng một số kiểm tra để xác định xem nó đang chạy trong môi trường ảo hay trên máy chủ thực. Để duy trì hoạt động, nó sử dụng hai phương pháp:

  • Tạo một tác vụ theo lịch trình
  • Đặt tệp LNK vào thư mục Khởi động Windows để tự động khởi chạy DLL cửa sau được lưu trữ trong thư mục Chuyển vùng Windows
  • Các biện pháp này đảm bảo phần mềm độc hại vẫn hoạt động ngay cả sau khi hệ thống khởi động lại.

Phân bổ mục tiêu và chỉ số

Các chuyên gia liên kết chiến dịch này với ngành công nghiệp ô tô của Nga do sử dụng tên miền carprlce.ru, có khả năng mạo danh tên miền hợp pháp carprice.ru.

Bản thân phần mềm độc hại này là một DLL .NET được thiết kế chủ yếu để đánh cắp, duy trì hoạt động độc hại liên tục trong khi đánh cắp thông tin nhạy cảm.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,602
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...