🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética lançaram luz sobre uma nova campanha que provavelmente teve como alvo os setores automotivo e de comércio eletrônico russos com um malware .NET anteriormente não documentado, denominado CAPI Backdoor.
De acordo com o Seqrite Labs, a cadeia de ataque envolve a distribuição de e-mails de phishing contendo um arquivo ZIP como forma de desencadear a infecção. A análise da empresa de segurança cibernética é baseada no artefato ZIP que foi carregado na plataforma VirusTotal em 3 de outubro de 2025.
Junto com o arquivo está um documento falso em russo que pretende ser uma notificação relacionada à legislação de imposto de renda e um arquivo de atalho do Windows (LNK).
O arquivo LNK, que tem o mesmo nome do arquivo ZIP (ou seja, "Перерасчет заработной платы 01.10.2025"), é responsável pela execução do implante .NET ("adobe.dll") usando um binário legítimo da Microsoft chamado "rundll32.exe", um Living-off-the-land (LotL) técnica conhecida por ser adotada por atores de ameaças.
O backdoor, observou Seqrite, vem com funções para verificar se está sendo executado com privilégios de administrador, reunir uma lista de produtos antivírus instalados e abrir o documento falso como um estratagema, enquanto se conecta furtivamente a um servidor remoto ("91.223.75[.]96") para receber comandos adicionais para execução.
Os comandos permitem que o CAPI Backdoor roube dados de navegadores como Google Chrome, Microsoft Edge e Mozilla Firefox; faça capturas de tela; coletar informações do sistema; enumerar o conteúdo da pasta; e exfiltrar os resultados de volta para o servidor.
Ele também tenta executar uma longa lista de verificações para determinar se é um host legítimo ou uma máquina virtual e usa dois métodos para estabelecer persistência, incluindo a configuração de uma tarefa agendada e a criação de um arquivo LNK na pasta de inicialização do Windows para iniciar automaticamente a DLL backdoor copiada para a pasta Roaming do Windows.
A avaliação de Seqrite de que o ator da ameaça tem como alvo o setor automobilístico russo se deve ao fato de que um dos domínios vinculados à campanha se chama carprlce[.]ru, que parece personificar o legítimo “carprice[.]ru”.
“A carga maliciosa é uma DLL .NET que funciona como um ladrão e estabelece persistência para futuras atividades maliciosas”, disseram os pesquisadores Priya Patel e Subhajeet Singha.
De acordo com o Seqrite Labs, a cadeia de ataque envolve a distribuição de e-mails de phishing contendo um arquivo ZIP como forma de desencadear a infecção. A análise da empresa de segurança cibernética é baseada no artefato ZIP que foi carregado na plataforma VirusTotal em 3 de outubro de 2025.
Junto com o arquivo está um documento falso em russo que pretende ser uma notificação relacionada à legislação de imposto de renda e um arquivo de atalho do Windows (LNK).
O arquivo LNK, que tem o mesmo nome do arquivo ZIP (ou seja, "Перерасчет заработной платы 01.10.2025"), é responsável pela execução do implante .NET ("adobe.dll") usando um binário legítimo da Microsoft chamado "rundll32.exe", um Living-off-the-land (LotL) técnica conhecida por ser adotada por atores de ameaças.
O backdoor, observou Seqrite, vem com funções para verificar se está sendo executado com privilégios de administrador, reunir uma lista de produtos antivírus instalados e abrir o documento falso como um estratagema, enquanto se conecta furtivamente a um servidor remoto ("91.223.75[.]96") para receber comandos adicionais para execução.
Os comandos permitem que o CAPI Backdoor roube dados de navegadores como Google Chrome, Microsoft Edge e Mozilla Firefox; faça capturas de tela; coletar informações do sistema; enumerar o conteúdo da pasta; e exfiltrar os resultados de volta para o servidor.
Ele também tenta executar uma longa lista de verificações para determinar se é um host legítimo ou uma máquina virtual e usa dois métodos para estabelecer persistência, incluindo a configuração de uma tarefa agendada e a criação de um arquivo LNK na pasta de inicialização do Windows para iniciar automaticamente a DLL backdoor copiada para a pasta Roaming do Windows.
A avaliação de Seqrite de que o ator da ameaça tem como alvo o setor automobilístico russo se deve ao fato de que um dos domínios vinculados à campanha se chama carprlce[.]ru, que parece personificar o legítimo “carprice[.]ru”.
“A carga maliciosa é uma DLL .NET que funciona como um ladrão e estabelece persistência para futuras atividades maliciosas”, disseram os pesquisadores Priya Patel e Subhajeet Singha.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #backdoor #.net #capi #tem #como #alvo #empresas #russas #de #automóveis #e #comércio #eletrônico #por #meio #de #zips #de #phishing
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário