Российский бизнес атакуют новым .NET-бэкдором
Эксперты в сфере информационной безопасности обнаружили масштабную кибератаку, направленную против российских предприятий автомобильной отрасли и сферы электронной коммерции. Злоумышленники используют инновационный вредоносный софт на базе платформы .NET, получивший название CAPI Backdoor.
Согласно исследованию Seqrite Labs, атака начинается с рассылки фишинговых сообщений, содержащих ZIP-архивы. Специалисты проанализировали образец вредоносного архива, загруженного на платформу VirusTotal 3 октября 2025 года.
В состав ZIP-архива входят поддельный документ на русском языке, имитирующий налоговое уведомление, и специальный LNK-файл Windows. Имя LNK-файла маскируется под содержимое архива (например, «Перерасчет заработной платы 01.10.2025»). Этот файл запускает .NET-модуль (adobe.dll) через легитимный системный компонент Microsoft — «rundll32.exe». Данная техника, известная как «life-off-the-land» (LotL), часто применяется киберпреступниками.
Исследователи отмечают, что бэкдор обладает широким функционалом:
- Проверка административных прав
- Мониторинг установленных антивирусных решений
- Маскировка под легитимный процесс
- Удалённое управление через сервер 91.223.75.196
Вредоносный способен:
- Красть данные из популярных браузеров (Chrome, Edge, Firefox)
- Делать скриншоты экрана
- Собирать системные данные
- Сканировать содержимое папок
- Передавать информацию злоумышленникам
Для обеспечения постоянного присутствия в системе бэкдор использует несколько методов:
- Создание запланированных задач
- Размещение LNK-файла в папке автозагрузки
- Копирование DLL-файла в директорию Windows Roaming
Особое внимание исследователей привлекло доменное имя carprlce.1ru, связанное с атакой, которое имитирует легитимный сайт carprice.1ru. Это подтверждает целенаправленный интерес злоумышленников к автомобильному сектору.
По словам исследователей Прия Патель и Субхаджита Сингха, вредоносная DLL-библиотека представляет собой многофункциональный инструмент для кражи данных, обеспечивающий долгосрочное присутствие в заражённой системе.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
ClickFix: опасности атак через буфер обмена усиливаются
ClickFix-атаки представляют серьёзную угрозу кибербезопасности, маскируясь под различные сервисы: от CAPTCHA до инструментов исправления ошибок на веб-страницах. Суть атаки заключается в том, что злоумышленники обманом заставляют пользователей выполнять вредоносные команды на их собственных устройствах через копирование кода из буфера обмена.
Спам-атака через 131 фальшивое расширение Chrome использовала WhatsApp Web
Специалисты по кибербезопасности обнаружили масштабную операцию, в рамках которой 131 поддельное расширение для Google Chrome использовалось для рассылки спама пользователям WhatsApp в Бразилии.
Северная Корея разработала Advanced JS — объединённое хакерское ПО
Киберпреступная группировка из Северной Кореи, известная как Contagious Interview, демонстрирует впечатляющие успехи в развитии своих хакерских инструментов. Специалисты по кибербезопасности зафиксировали уникальную интеграцию двух вредоносных программ в единое целое.