Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir .NET kötü amaçlı yazılımıyla muhtemelen Rus otomobil ve e-ticaret sektörlerini hedef alan yeni bir kampanyaya ışık tuttu. CAPI Arka Kapısı.
Seqrite Labs’a göre saldırı zinciri, enfeksiyonu tetiklemenin bir yolu olarak ZIP arşivi içeren kimlik avı e-postalarının dağıtılmasını içeriyor. Siber güvenlik şirketinin analizi, 3 Ekim 2025’te VirusTotal platformuna yüklenen ZIP eserini temel alıyor.
Arşivin yanında, gelir vergisi mevzuatına ilişkin bildirim olduğu iddia edilen sahte bir Rusça belge ve bir Windows kısayol (LNK) dosyası da mevcut.
ZIP arşiviyle aynı adı taşıyan LNK dosyası (yani, “Перерасчет заработной платы 01.10.2025”), .NET implantının (“adobe.dll”), bilinen bir arazide yaşama (LotL) tekniği olan “rundll32.exe” adlı meşru bir Microsoft ikili dosyasını kullanarak yürütülmesinden sorumludur. Tehdit aktörleri tarafından benimsenecek.
Seqrite, arka kapının yönetici düzeyinde ayrıcalıklarla çalışıp çalışmadığını kontrol etme, kurulu antivirüs ürünlerinin bir listesini toplama ve uzak bir sunucuya gizlice bağlanırken sahte belgeyi hile olarak açma işlevleriyle birlikte geldiğini belirtti (“91.223.75″)[.]96”) yürütme için daha fazla komut almak üzere.
Komutlar, CAPI Backdoor’un Google Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarından veri çalmasına olanak tanır; ekran görüntüleri alın; sistem bilgilerini toplayın; klasör içeriğini numaralandırın; ve sonuçları sunucuya geri sızdırın.
Ayrıca, meşru bir ana bilgisayar mı yoksa sanal makine mi olduğunu belirlemek için uzun bir kontrol listesi çalıştırmayı dener ve kalıcılığı sağlamak için, zamanlanmış bir görev ayarlamak ve Windows Başlangıç klasöründe Windows Dolaşım klasörüne kopyalanan arka kapı DLL’sini otomatik olarak başlatmak için bir LNK dosyası oluşturmak dahil olmak üzere iki yöntemden yararlanır.
Seqrite’ın tehdit aktörünün Rus otomobil sektörünü hedef aldığı yönündeki değerlendirmesi, kampanyayla bağlantılı alanlardan birinin carprlce olmasından kaynaklanıyor.[.]ru, meşru “carprice” ifadesini taklit ediyor gibi görünüyor[.]ru.”
Araştırmacılar Priya Patel ve Subhajeet Singha, “Kötü amaçlı yük, hırsız olarak işlev gören ve gelecekteki kötü niyetli faaliyetler için kalıcılık sağlayan bir .NET DLL’dir” dedi.