Investigadores de ciberseguridad han descubierto una nueva campaña que probablemente esté dirigida a las industrias automotriz y de comercio electrónico de Rusia utilizando un malware .NET previamente no documentado llamado «CAPI Backdoor».
Según Seqrite Labs, la cadena de ataque incluye la distribución de correos electrónicos de phishing con archivos ZIP como método para provocar la infección. El análisis de la firma de ciberseguridad se basa en un artefacto ZIP subido a la plataforma VirusTotal el 3 de octubre de 2025.
El archivo contiene documentos señuelo en ruso y archivos de acceso directo de Windows (LNK) disfrazados de notificaciones relacionadas con la Ley del Impuesto sobre la Renta.
El archivo LNK con el mismo nombre que el archivo ZIP (es decir, «Перерасчет заработной платы 01.10.2025») ejecuta un implante .NET («adobe.dll») utilizando la técnica binaria genuina de Microsoft (LotL) llamada «rundll32.exe». Conocido por ser empleado por actores de amenazas.
Según Seqrite, la puerta trasera tiene la capacidad de comprobar si se está ejecutando con privilegios de nivel de administrador, recopilar una lista de productos antivirus instalados y abrir un documento señuelo como artimaña, mientras se conecta secretamente a un servidor remoto (91.223.75(.)96) para recibir más comandos para su ejecución.
Este comando permite que las puertas traseras CAPI roben datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox. Toma una captura de pantalla. Recopilar información del sistema. Enumerar el contenido de una carpeta. Luego extrae los resultados y los envía de vuelta al servidor.
También intenta realizar una larga lista de comprobaciones para determinar si se trata de un host legítimo o de una máquina virtual. También utiliza dos métodos para establecer la persistencia. Esto incluye configurar tareas programadas y crear un archivo LNK en la carpeta Inicio de Windows para iniciar automáticamente archivos DLL de puerta trasera que se copian en la carpeta Roaming de Windows.
La evaluación de Seqrite de que este actor tiene como objetivo el sector automotriz ruso se debe al hecho de que uno de los dominios vinculados a la campaña se llama carprlce(.)ru, que parece hacerse pasar por el legítimo “carprice(.)ru”.
«La carga útil maliciosa es una DLL .NET que actúa como un ladrón y establece persistencia contra futuras actividades maliciosas», dijeron los investigadores Priya Patel y Subhajeet Singha.
Source link
