CAPI 後門
網路安全研究人員發現了一項針對俄羅斯汽車和電子商務領域的新型惡意軟體攻擊活動。這次攻擊利用了先前未記錄的.NET惡意軟體(現已確認為CAPI後門),該惡意軟體展示了先進的規避和資料竊取技術。
目錄
感染媒介:網路釣魚和 ZIP 壓縮文件
感染鏈始於攜帶 ZIP 壓縮包的網路釣魚郵件。在對一份日期為 2025 年 10 月 3 日的 ZIP 壓縮包進行分析後,發現了一個偽裝成所得稅立法相關通知的俄語誘餌文件。該文件附帶一個與壓縮包同名的 Windows 快捷方式 (LNK) 文件:Перерасчет заработной платы 01.10.2025。
此 LNK 檔案透過合法的 Microsoft 二進位檔案 rundll32.exe 執行後門 DLL(adobe.dll),採用了複雜威脅行為者常用的離地謀生 (LotL) 技術。
後門功能:隱身與資料竊取
一旦執行,CAPI 後門就會在保持隱密的同時執行多項任務:
- 檢查管理員權限
- 收集已安裝的防毒產品列表
- 開啟誘餌文件來分散注意力
- 連接到遠端伺服器(91.223.75[.]96)以接收其他命令
收到的命令使惡意軟體能夠:
- 從 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等網頁瀏覽器竊取憑證和數據
- 截圖
- 收集系統資訊
- 枚舉資料夾內容並將其洩漏到遠端伺服器
逃避和持久性機制
CAPI 後門會進行多項檢查來確定它是在虛擬環境中運作還是在真實主機上執行。為了實現持久性,它使用了兩種方法:
- 建立計劃任務
目標歸因和指標
專家認為,這次攻擊活動與俄羅斯汽車產業有關,因為攻擊者使用了域名 carprlce.ru,很可能冒充了合法的 carprice.ru。
該惡意軟體本身是一個 .NET DLL,主要設計為竊取程序,在竊取敏感資訊的同時建立持久性以繼續進行惡意操作。
