Các nhà nghiên cứu bảo mật vừa cảnh báo về một chiến dịch tấn công mới sử dụng malware .NET chưa từng được biết đến, mang tên CAPI Backdoor. Chiến dịch này được cho là nhắm mục tiêu vào các lĩnh vực ô tô và thương mại điện tử của Nga, sử dụng email lừa đảo để phát tán mã độc.
Theo báo cáo từ Seqrite Labs, chuỗi tấn công bắt đầu bằng các email phishing có đính kèm tệp lưu trữ ZIP. Phân tích của một công ty dựa trên một tệp ZIP được tải lên nền tảng VirusTotal vào ngày 3 tháng 10, 2025. Bên trong tệp nén là một tài liệu mồi bằng tiếng Nga, giả dạng thông báo liên quan đến luật thuế thu nhập, và một tệp shortcut (LNK) của Windows.
Tệp LNK này có tên “Перерасчет заработной платы 01.10.2025” chịu trách nhiệm thực thi mã độc .NET nó có tên tệp là adobe.dll. Kẻ tấn công đã sử dụng một tệp nhị phân hợp pháp của Microsoft là “rundll32.exe” để kích hoạt mã độc, đây là một kỹ thuật living-off-the-land (LotL) phổ biến nhằm lẩn tránh sự phát hiện của các giải pháp bảo mật.
Sau khi lây nhiễm, CAPI Backdoor sẽ kiểm tra xem nó có đang chạy với administrator hay không, thu thập danh sách các sản phẩm antivirus được cài đặt, và mở tài liệu mồi để đánh lừa nạn nhân. Đồng thời, nó âm thầm kết nối đến một remote server (C2) tại 91.223.75[.]96 để nhận các lệnh tiếp theo.
Các lệnh này cho phép backdoor thực hiện nhiều hành vi nguy hiểm, bao gồm đánh cắp dữ liệu từ các trình duyệt web như Google Chrome, Microsoft Edge và Mozilla Firefox, chụp ảnh màn hình, thu thập thông tin hệ thống, và gửi các dữ liệu thu thập được về máy chủ C2.
Mã độc cũng thực hiện một loạt kiểm tra để xác định xem nó có đang chạy trong virtual machine hay không đó là một kỹ thuật anti-analysis. Để thiết lập cơ chế persistence để duy trì xâm nhập, CAPI Backdoor sử dụng hai phương pháp: thiết lập một scheduled task và tạo một tệp LNK trong thư mục Startup của Windows.
Đánh giá của Seqrite cho rằng mục tiêu là ngành ô tô Nga dựa trên việc một trong các domain liên quan đến carprlce[.]ru, dường như giả mạo trang web hợp pháp carprice[.]ru.
