Εισαγωγή στην επίθεση
Οι ερευνητές κυβερνοασφάλειας φέρνουν στο φως μια νέα καμπάνια που φαίνεται να στοχεύει τον τομέα της αυτοκινητοβιομηχανίας και το ηλεκτρονικό εμπόριο στη Ρωσία. Η επίθεση βασίζεται σε ένα άγνωστο μέχρι πρότινος κακόβουλο λογισμικό .NET, γνωστό ως CAPI Backdoor.
Η αλυσίδα της επίθεσης
Σύμφωνα με την εταιρεία Seqrite Labs, η επιθετική αλυσίδα περιλαμβάνει τη διάδοση ηλεκτρονικών μηνυμάτων phishing που περιέχουν ένα αρχείο ZIP, με σκοπό την πρόκληση μόλυνσης. Η ανάλυση της εταιρείας βασίζεται σε ένα ZIP αρχείο που ανέβηκε στην πλατφόρμα VirusTotal στις 3 Οκτωβρίου 2025.
Τακτικές και τεχνικές
Μέσα στο αρχείο ZIP υπάρχει ένα παραπλανητικό έγγραφο στα ρωσικά, που υποτίθεται ότι σχετίζεται με τη νομοθεσία περί φόρου εισοδήματος, καθώς και ένα αρχείο συντόμευσης Windows (LNK). Το αρχείο LNK, που έχει το ίδιο όνομα με το ZIP (“Перерасчет заработной платы 01.10.2025”), είναι υπεύθυνο για την εκτέλεση του .NET implant (“adobe.dll”) χρησιμοποιώντας ένα νόμιμο Microsoft binary, το “rundll32.exe”. Αυτή η τεχνική, γνωστή ως living-off-the-land (LotL), είναι συχνά υιοθετημένη από κυβερνοεγκληματίες.
Χαρακτηριστικά και λειτουργίες του CAPI Backdoor
Το backdoor, όπως σημειώνει η Seqrite, φέρει λειτουργίες για να ελέγχει αν τρέχει με δικαιώματα διαχειριστή, να συγκεντρώνει λίστα εγκατεστημένων προϊόντων antivirus και να ανοίγει το παραπλανητικό έγγραφο ως τέχνασμα, ενώ ταυτόχρονα συνδέεται κρυφά με έναν απομακρυσμένο διακομιστή (“91.223.75[.]96”) για να λαμβάνει περαιτέρω εντολές προς εκτέλεση.
Εκτεταμένες δυνατότητες παρακολούθησης
Οι εντολές επιτρέπουν στο CAPI Backdoor να κλέβει δεδομένα από προγράμματα περιήγησης όπως τα Google Chrome, Microsoft Edge και Mozilla Firefox, να καταγράφει στιγμιότυπα οθόνης, να συλλέγει πληροφορίες συστήματος, να απαριθμεί περιεχόμενα φακέλων και να εξάγει τα αποτελέσματα πίσω στον διακομιστή.
Μέτρα επιμονής και αποφυγής εντοπισμού
Επιπλέον, το backdoor επιχειρεί να εκτελέσει μια μακρά λίστα ελέγχων για να καθορίσει αν βρίσκεται σε πραγματικό υπολογιστή ή εικονική μηχανή, ενώ χρησιμοποιεί δύο μεθόδους για να εδραιώσει την επιμονή του. Αυτές περιλαμβάνουν τη δημιουργία προγραμματισμένης εργασίας και τη δημιουργία ενός αρχείου LNK στον φάκελο εκκίνησης των Windows για αυτόματη εκκίνηση του backdoor DLL που έχει αντιγραφεί στον φάκελο Roaming των Windows.
Στόχευση και συμπεράσματα
Η Seqrite εκτιμά ότι οι επιτιθέμενοι στοχεύουν τον τομέα της αυτοκινητοβιομηχανίας στη Ρωσία, καθώς ένα από τα domain που σχετίζονται με την καμπάνια έχει το όνομα carprlce[.]ru, που φαίνεται να μιμείται το νόμιμο “carprice[.]ru”.
Συνολικά, το κακόβουλο φορτίο είναι μια .NET DLL που λειτουργεί ως κλέφτης δεδομένων και εδραιώνει επιμονή για μελλοντικές κακόβουλες δραστηριότητες, όπως εξήγησαν οι ερευνητές Priya Patel και Subhajeet Singha.
