- Автор темы
- #1
Исследователи из компании Seqrite Labs обнаружили новую вредоносную кампанию, которая предположительно нацелена на российский автомобильный сектор и e-commerce. В своих атаках злоумышленники используют ранее неизвестную .NET-малварь под названием CAPI.
По данным специалистов, атаки начинаются с распространения фишинговых писем с вредоносным ZIP-архивом. Один из таких ZIP-артефактов был загружен на платформу VirusTotal 3 октября 2025 года.
В архиве находится документ-приманка на русском языке, который маскируется под уведомление, связанное с законодательством о НДФЛ, а также ярлык Windows (LNK-файл).
Общая схема атаки
LNK-файл, имеющий то же название, что и ZIP-архив («Перерасчет заработной платы 01.10.2025»), отвечает за выполнение .NET-импланта (adobe.dll) с помощью легитимного бинарника rundll32.exe. То есть в атаках применяется техника living-off-the-land (LotL).
Сам бэкдор проверяет, работает ли он с правами администратора и собирает список установленных на машине жертвы антивирусных продуктов. Для отвлечения внимания пользователя он открывает документ-приманку, одновременно пытаясь незаметно подключиться к управляющему серверу (91.223.75[.]96) для получения дальнейших команд.
Полученные от операторов команды позволяют CAPI похищать данные из браузеров (Google Chrome, Microsoft Edge и Mozilla Firefox), делать скриншоты, собирать системную информацию, перечислять содержимое папок и передавать результаты обратно на сервер.
Аналитики Seqrite полагают, что стоящая за CAPI хак-группа нацелена на российский автомобильный сектор, так как один из доменов, связанных с этой кампанией, называется carprlce[.]ru, то есть имитирует легитимный carprice[.]ru.
По данным специалистов, атаки начинаются с распространения фишинговых писем с вредоносным ZIP-архивом. Один из таких ZIP-артефактов был загружен на платформу VirusTotal 3 октября 2025 года.
В архиве находится документ-приманка на русском языке, который маскируется под уведомление, связанное с законодательством о НДФЛ, а также ярлык Windows (LNK-файл).
Общая схема атакиLNK-файл, имеющий то же название, что и ZIP-архив («Перерасчет заработной платы 01.10.2025»), отвечает за выполнение .NET-импланта (adobe.dll) с помощью легитимного бинарника rundll32.exe. То есть в атаках применяется техника living-off-the-land (LotL).
Сам бэкдор проверяет, работает ли он с правами администратора и собирает список установленных на машине жертвы антивирусных продуктов. Для отвлечения внимания пользователя он открывает документ-приманку, одновременно пытаясь незаметно подключиться к управляющему серверу (91.223.75[.]96) для получения дальнейших команд.
Полученные от операторов команды позволяют CAPI похищать данные из браузеров (Google Chrome, Microsoft Edge и Mozilla Firefox), делать скриншоты, собирать системную информацию, перечислять содержимое папок и передавать результаты обратно на сервер.
Также вредонос пытается выполнить длинный список проверок, чтобы определить, не является ли хост виртуальной машиной. Для закрепления в системе используются два метода, включая создание запланированной задачи и создание LNK-файла в папке автозагрузки Windows для автоматического запуска DLL бэкдора, скопированной в папку Windows Roaming.
Аналитики Seqrite полагают, что стоящая за CAPI хак-группа нацелена на российский автомобильный сектор, так как один из доменов, связанных с этой кампанией, называется carprlce[.]ru, то есть имитирует легитимный carprice[.]ru.