Porte dérobée CAPI
Des chercheurs en cybersécurité ont découvert une nouvelle campagne de malware ciblant les secteurs russe de l'automobile et du e-commerce. L'attaque exploite un malware .NET jusqu'alors non répertorié, désormais identifié comme CAPI Backdoor, qui utilise des techniques avancées d'évasion et de vol de données.
Table des matières
Vecteur d’infection : phishing et archives ZIP
La chaîne d'infection commence par des courriels d'hameçonnage contenant une archive ZIP. L'analyse d'un artefact ZIP daté du 3 octobre 2025 a révélé un faux document en russe se faisant passer pour une notification relative à la législation fiscale. Ce document est accompagné d'un fichier de raccourci Windows (LNK) portant le même nom que l'archive : Перерасчет заработной платы 01.10.2025.
Ce fichier LNK exécute la DLL de porte dérobée (adobe.dll) via un binaire Microsoft légitime, rundll32.exe, en utilisant une technique de vie hors de la terre (LotL) couramment utilisée par les acteurs de menaces sophistiqués.
Capacités de porte dérobée : furtivité et vol de données
Une fois exécuté, CAPI Backdoor effectue plusieurs tâches tout en maintenant la furtivité :
- Vérifie les privilèges d'administrateur
- Rassemble une liste des produits antivirus installés
- Ouvre le document leurre comme distraction
- Se connecte à un serveur distant (91.223.75[.]96) pour recevoir des commandes supplémentaires
Les commandes reçues permettent au malware de :
- Voler des informations d'identification et des données à partir de navigateurs Web tels que Google Chrome, Microsoft Edge et Mozilla Firefox
- Capturer des captures d'écran
- Collecter des informations système
- Énumérer le contenu du dossier et l'exfiltrer vers le serveur distant
Mécanismes d’évasion et de persistance
CAPI Backdoor utilise plusieurs vérifications pour déterminer s'il s'exécute dans un environnement virtuel ou sur un hôte réel. Pour la persistance, il utilise deux méthodes :
- Créer une tâche planifiée
- Placer un fichier LNK dans le dossier de démarrage de Windows pour lancer automatiquement la DLL de porte dérobée stockée dans le dossier Windows Roaming
- Ces mesures garantissent que le logiciel malveillant reste actif même après le redémarrage du système.
Attribution des cibles et indicateurs
Les experts relient la campagne au secteur automobile russe en raison de l'utilisation du domaine carprlce.ru, se faisant probablement passer pour le domaine légitime carprice.ru.
Le malware lui-même est une DLL .NET conçue principalement comme un voleur, établissant une persistance pour des opérations malveillantes continues tout en exfiltrant des informations sensibles.
