Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Hintertür-Viren CAPI-Hintertür

CAPI-Hintertür

Von Mezo in Hintertür-Viren
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Malware-Kampagne aufgedeckt, die sich gegen die russische Automobil- und E-Commerce-Branche richtet. Der Angriff nutzt eine bisher undokumentierte .NET-Malware, die nun als CAPI Backdoor identifiziert wurde und über fortschrittliche Ausweich- und Datendiebstahltechniken verfügt.

Infektionsvektor: Phishing und ZIP-Archive

Die Infektionskette beginnt mit Phishing-E-Mails, die ein ZIP-Archiv enthalten. Die Analyse eines ZIP-Artefakts vom 3. Oktober 2025 enthüllte ein gefälschtes russischsprachiges Dokument, das als Mitteilung zur Einkommensteuergesetzgebung getarnt war. Dieses Dokument enthält eine Windows-Verknüpfungsdatei (LNK) mit demselben Namen wie das Archiv: „Перерасчет заработной платы 01.10.2025“.

Diese LNK-Datei führt die Backdoor-DLL (adobe.dll) über eine legitime Microsoft-Binärdatei, rundll32.exe, aus und verwendet dabei eine Living-off-the-land-Technik (LotL), die häufig von erfahrenen Bedrohungsakteuren verwendet wird.

Backdoor-Funktionen: Tarnung und Datendiebstahl

Nach der Ausführung führt CAPI Backdoor mehrere Aufgaben aus und bleibt dabei verborgen:

  • Überprüft auf Administratorrechte
  • Erstellt eine Liste der installierten Antivirenprodukte
  • Öffnet das Lockvogeldokument zur Ablenkung
  • Stellt eine Verbindung zu einem Remote-Server (91.223.75[.]96) her, um zusätzliche Befehle zu empfangen

Die empfangenen Befehle ermöglichen der Malware:

  • Stehlen Sie Anmeldeinformationen und Daten von Webbrowsern wie Google Chrome, Microsoft Edge und Mozilla Firefox
  • Screenshots aufnehmen
  • Sammeln von Systeminformationen
  • Ordnerinhalte auflisten und auf den Remote-Server exfiltrieren

Ausweich- und Persistenzmechanismen

CAPI Backdoor führt mehrere Prüfungen durch, um festzustellen, ob es in einer virtuellen Umgebung oder auf einem realen Host ausgeführt wird. Zur Persistenz verwendet es zwei Methoden:

  • Erstellen einer geplanten Aufgabe
  • Platzieren einer LNK-Datei im Windows-Autostart-Ordner, um die im Windows-Roaming-Ordner gespeicherte Backdoor-DLL automatisch zu starten
  • Diese Maßnahmen stellen sicher, dass die Schadsoftware auch nach einem Systemneustart aktiv bleibt.

Zielzuordnung und Indikatoren

Experten bringen die Kampagne mit der russischen Automobilbranche in Verbindung, da die Domain carprlce.ru verwendet wird, die wahrscheinlich die legitime Website carprice.ru imitiert.

Bei der Malware selbst handelt es sich um eine .NET-DLL, die in erster Linie als Diebstahlsmechanismus konzipiert ist und Persistenz für weitere bösartige Operationen schafft, während vertrauliche Informationen exfiltriert werden.

Im Trend

Am häufigsten gesehen

Wird geladen...