پژوهشگران امنیت سایبری از کمپینی تازه پرده برداشتهاند که بهنظر میرسد شرکتهای خودروسازی و تجارت الکترونیک روسیه را با یک بدافزار ناشناختهی مبتنی بر .NET با نام CAPI Backdoor هدف گرفته است.
به گفتهٔ تیم Seqrite Labs، زنجیرهٔ حمله با ارسال ایمیلهای فیشینگ آغاز میشود که حاوی یک فایل ZIP آلوده است. تحلیل این شرکت بر اساس نمونهای از همین فایل است که در تاریخ ۳ اکتبر ۲۰۲۵ در پلتفرم VirusTotal آپلود شده بود.
درون این فایل ZIP، یک سند جعلی به زبان روسی قرار دارد که ظاهراً دربارهٔ اصلاح قانون مالیات بر درآمد است، در کنار یک فایل میانبر ویندوز (LNK) با همان نام ZIP (به روسی: «Перерасчет заработной платы 01.10.2025»).
این فایل میانبر وظیفه دارد با استفاده از ابزار قانونی ویندوز به نام rundll32.exe، فایل DLL آلوده با نام adobe.dll را اجرا کند. این روش که در دنیای هک به آن Living-off-the-Land (LotL) گفته میشود، از ابزارهای بومی سیستم برای اجرای بدافزار استفاده میکند تا شناسایی نشود.
🧩 قابلیتها و عملکرد CAPI Backdoor
به گفتهٔ Seqrite، این بکدور دارای چند عملکرد کلیدی است:
بررسی سطح دسترسی (برای تشخیص اجرای ادمین)
شناسایی آنتیویروسهای نصبشده روی سیستم
باز کردن سند جعلی برای فریب کاربر
اتصال مخفیانه به سرور فرماندهی و کنترل (C2) در آدرس 91.223.75[.]96 برای دریافت دستورهای جدید
این بدافزار میتواند:
اطلاعات ذخیرهشده در مرورگرهایی مانند Chrome، Edge و Firefox را سرقت کند،
از صفحهنمایش اسکرینشات بگیرد،
اطلاعات سیستم و محتوای پوشهها را جمعآوری کند،
و دادههای استخراجشده را به سرور مهاجم ارسال کند.
🧠 تاکتیکهای پنهانکاری و ماندگاری
CAPI Backdoor برای تشخیص اینکه روی یک سیستم واقعی اجرا میشود یا ماشین مجازی (Virtual Machine)، چندین بررسی امنیتی انجام میدهد.
همچنین دو روش برای حفظ ماندگاری (Persistence) دارد:
ایجاد وظیفهٔ زمانبندیشده (Scheduled Task)
قرار دادن یک فایل LNK در پوشهٔ Startup ویندوز که نسخهای از DLL آلوده را از مسیر Roaming اجرا میکند.
🎯 هدفگذاری دقیق
تحلیل Seqrite نشان میدهد که یکی از دامنههای مرتبط با این حملات carprlce[.]ru بوده که از لحاظ ظاهری بسیار شبیه دامنهٔ قانونی carprice[.]ru است.
این موضوع نشان میدهد هدف اصلی این حملات احتمالاً شرکتهای خودروسازی روسیه هستند.
🧠 جمعبندی
به گفتهٔ پژوهشگران Priya Patel و Subhajeet Singha از Seqrite:
«این بدافزار .NET بهصورت یک فایل DLL عمل میکند که قابلیت سرقت داده و حفظ ماندگاری برای فعالیتهای مخرب آینده را داراست.»
