CAPI 后门
网络安全研究人员发现了一项针对俄罗斯汽车和电子商务领域的新型恶意软件攻击活动。此次攻击利用了此前未记录的.NET恶意软件(现已被确认为CAPI后门),该恶意软件展示了先进的规避和数据窃取技术。
目录
感染媒介:网络钓鱼和 ZIP 压缩文件
感染链始于携带 ZIP 压缩包的网络钓鱼邮件。对一份日期为 2025 年 10 月 3 日的 ZIP 压缩包进行分析后,发现了一个伪装成所得税立法相关通知的俄语诱饵文档。该文档附带一个与压缩包同名的 Windows 快捷方式 (LNK) 文件:Перерасчет заработной платы 01.10.2025。
该 LNK 文件通过合法的 Microsoft 二进制文件 rundll32.exe 执行后门 DLL(adobe.dll),采用了复杂威胁行为者常用的离地谋生 (LotL) 技术。
后门功能:隐身和数据窃取
一旦执行,CAPI 后门就会在保持隐秘的同时执行多项任务:
- 检查管理员权限
- 收集已安装的防病毒产品列表
- 打开诱饵文档来分散注意力
- 连接到远程服务器(91.223.75[.]96)以接收其他命令
收到的命令使恶意软件能够:
- 从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器窃取凭证和数据
- 截取屏幕截图
- 收集系统信息
- 枚举文件夹内容并将其泄露到远程服务器
逃避和持久机制
CAPI 后门会进行多项检查来确定它是在虚拟环境中运行还是在真实主机上运行。为了实现持久性,它使用了两种方法:
- 创建计划任务
目标归因和指标
专家认为,此次攻击活动与俄罗斯汽车行业有关,因为攻击者使用了域名 carprlce.ru,很可能冒充了合法的 carprice.ru。
该恶意软件本身是一个 .NET DLL,主要设计为窃取程序,在窃取敏感信息的同时建立持久性以继续进行恶意操作。
