Cửa hậu .NET CAPI mới nhắm mục tiêu vào các công ty ô tô và thương mại điện tử của Nga thông qua các tệp ZIP lừa đảo
Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chiến dịch mới có khả năng nhắm vào các ngành ô tô và thương mại điện tử của Nga bằng phần mềm độc hại .NET chưa từng được ghi nhận trước đây có tên là CAPI Backdoor .
Theo Seqrite Labs , chuỗi tấn công bao gồm việc phát tán email lừa đảo chứa tệp ZIP như một cách để kích hoạt lây nhiễm. Phân tích của công ty an ninh mạng này dựa trên hiện vật ZIP được tải lên nền tảng VirusTotal vào ngày 3 tháng 10 năm 2025.
Trong kho lưu trữ có một tài liệu giả bằng tiếng Nga được cho là thông báo liên quan đến luật thuế thu nhập và một tệp lối tắt Windows (LNK).
Tệp LNK có cùng tên với tệp ZIP (tức là "Перерасчет заработной платы 01.10.2025"), chịu trách nhiệm thực thi phần mềm cấy ghép .NET ("adobe.dll") bằng cách sử dụng tệp nhị phân Microsoft hợp pháp có tên " rundll32.exe ", một kỹ thuật sống ngoài thực địa (LotL) được các tác nhân đe dọa sử dụng .
Seqrite lưu ý rằng backdoor này có các chức năng kiểm tra xem nó có đang chạy với quyền quản trị viên hay không, thu thập danh sách các sản phẩm diệt vi-rút đã cài đặt và mở tài liệu giả mạo như một thủ thuật, trong khi nó sẽ bí mật kết nối với máy chủ từ xa ("91.223.75[.]96") để nhận thêm lệnh thực thi.
Các lệnh cho phép CAPI Backdoor đánh cắp dữ liệu từ các trình duyệt web như Google Chrome, Microsoft Edge và Mozilla Firefox; chụp ảnh màn hình; thu thập thông tin hệ thống; liệt kê nội dung thư mục; và truyền kết quả trở lại máy chủ.
Nó cũng cố gắng chạy một danh sách dài các kiểm tra để xác định xem đó có phải là máy chủ hợp pháp hay máy ảo và sử dụng hai phương pháp để thiết lập tính bền bỉ, bao gồm thiết lập tác vụ theo lịch trình và tạo tệp LNK trong thư mục Khởi động Windows để tự động khởi chạy DLL cửa sau được sao chép vào thư mục Windows Roaming.
Đánh giá của Seqrite rằng tác nhân đe dọa đang nhắm vào ngành công nghiệp ô tô của Nga là do một trong những tên miền có liên quan đến chiến dịch này có tên là carprlce[.]ru, có vẻ như mạo danh "carprice[.]ru" hợp pháp.
Các nhà nghiên cứu Priya Patel và Subhajeet Singha cho biết: "Phần mềm độc hại là một DLL .NET có chức năng đánh cắp và duy trì hoạt động cho các hoạt động độc hại trong tương lai".
