Các nhà nghiên cứu an ninh mạng đã hé lộ một chiến dịch mới có khả năng nhắm mục tiêu vào các lĩnh vực ô tô và thương mại điện tử của Nga bằng một loại mã độc .NET chưa từng được ghi nhận trước đây, có tên là CAPI Backdoor.
Chi tiết chiến dịch tấn công
Theo Seqrite Labs, chuỗi tấn công liên quan đến việc phân phát các email lừa đảo (phishing emails) chứa một tệp tin nén ZIP như một cách để kích hoạt lây nhiễm. Phân tích của công ty an ninh mạng này dựa trên hiện vật ZIP được tải lên nền tảng VirusTotal vào ngày 3 tháng 10 năm 2025.
Cùng với tệp nén là một tài liệu mồi nhử bằng tiếng Nga, được cho là thông báo liên quan đến luật thuế thu nhập, và một tệp shortcut của Windows (LNK).
Tệp LNK, có cùng tên với tệp ZIP (tức là "Перерасчет заработной платы 01.10.2025"), chịu trách nhiệm thực thi implant .NET ("adobe.dll") bằng cách sử dụng một tệp nhị phân hợp pháp của Microsoft có tên "rundll32.exe," một kỹ thuật living-off-the-land (LotL) được biết là được các tác nhân đe dọa áp dụng.
Các tính năng và cơ chế hoạt động của CAPI Backdoor
Theo ghi nhận của Seqrite, backdoor này đi kèm với các chức năng để kiểm tra xem nó có đang chạy với đặc quyền cấp quản trị viên hay không, thu thập danh sách các sản phẩm antivirus đã cài đặt và mở tài liệu mồi nhử như một chiêu trò đánh lừa. Trong khi đó, nó kết nối một cách lén lút đến một máy chủ từ xa ("91.223.75[.]96") để nhận thêm các lệnh thực thi.
Các lệnh cho phép CAPI Backdoor đánh cắp dữ liệu từ các trình duyệt web như Google Chrome, Microsoft Edge và Mozilla Firefox; chụp ảnh màn hình (screenshots); thu thập thông tin hệ thống; liệt kê nội dung thư mục; và trích xuất kết quả về máy chủ.
Nó cũng cố gắng chạy một danh sách dài các kiểm tra để xác định xem đó có phải là một máy chủ hợp pháp hay một máy ảo (virtual machine), và sử dụng hai phương pháp để thiết lập tính bền bỉ (persistence), bao gồm thiết lập một tác vụ theo lịch (scheduled task) và tạo một tệp LNK trong thư mục Windows Startup để tự động khởi chạy DLL của backdoor đã được sao chép vào thư mục Windows Roaming.
Đánh giá của Seqrite rằng tác nhân đe dọa đang nhắm mục tiêu vào lĩnh vực ô tô của Nga dựa trên thực tế là một trong các miền liên quan đến chiến dịch có tên là carprlce[.]ru, dường như mạo danh "carprice[.]ru" hợp pháp.
"Payload độc hại là một DLL .NET hoạt động như một stealer và thiết lập tính bền bỉ cho các hoạt động độc hại trong tương lai," các nhà nghiên cứu Priya Patel và Subhajeet Singha cho biết.
