Российский бизнес атакуют новым .NET-бэкдором
Дата: 19.10.2025Просмотров: 1221
Российский бизнес атакуют новым .NET-бэкдором
Эксперты в сфере информационной безопасности обнаружили масштабную кибератаку, направленную против российских предприятий автомобильной отрасли и сферы электронной коммерции. Злоумышленники используют инновационный вредоносный софт на базе платформы .NET, получивший название CAPI Backdoor.
Согласно исследованию Seqrite Labs, атака начинается с рассылки фишинговых сообщений, содержащих ZIP-архивы. Специалисты проанализировали образец вредоносного архива, загруженного на платформу VirusTotal 3 октября 2025 года.
В состав ZIP-архива входят поддельный документ на русском языке, имитирующий налоговое уведомление, и специальный LNK-файл Windows. Имя LNK-файла маскируется под содержимое архива (например, «Перерасчет заработной платы 01.10.2025»). Этот файл запускает .NET-модуль (adobe.dll) через легитимный системный компонент Microsoft — «rundll32.exe». Данная техника, известная как «life-off-the-land» (LotL), часто применяется киберпреступниками.
Исследователи отмечают, что бэкдор обладает широким функционалом:
- Проверка административных прав
- Мониторинг установленных антивирусных решений
- Маскировка под легитимный процесс
- Удалённое управление через сервер 91.223.75[.]96
Вредоносный способен:
- Красть данные из популярных браузеров (Chrome, Edge, Firefox)
- Делать скриншоты экрана
- Собирать системные данные
- Сканировать содержимое папок
- Передавать информацию злоумышленникам
Для обеспечения постоянного присутствия в системе бэкдор использует несколько методов:
- Создание запланированных задач
- Размещение LNK-файла в папке автозагрузки
- Копирование DLL-файла в директорию Windows Roaming
Особое внимание исследователей привлекло доменное имя carprlce[.]ru, связанное с атакой, которое имитирует легитимный сайт carprice[.]ru. Это подтверждает целенаправленный интерес злоумышленников к автомобильному сектору.
По словам исследователей Прия Патель и Субхаджита Сингха, вредоносная DLL-библиотека представляет собой многофункциональный инструмент для кражи данных, обеспечивающий долгосрочное присутствие в заражённой системе.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Хакеры Zero Disco применяют уязвимость Cisco SNMP для скрытого заражения
Хакеры Zero Disco применяют уязвимость Cisco SNMP для скрытого заражения
Эксперты по информационной безопасности обнародовали детали масштабной кибератаки, направленной на проникновение в корпоративные сети через критический баг в сетевом оборудовании Cisco. Злоумышленники используют обнаруженную уязвимость для тайной установки вредоносных программ на устаревшие серверы Linux.
СГУ разработал гибкую углеродную плёнку для техники и медицины
СГУ разработал гибкую углеродную плёнку для техники и медицины
Специалисты Саратовского государственного университета создали уникальную углеродную плёнку, которая может применяться в медицине и гибкой электронике. Материал сохраняет свою проводимость даже при растяжении на 40%, что делает его идеальным для медицинских применений, например, для создания «заплаток» для сердца.
Бионическая кисть с оптическим управлением создана в России
Бионическая кисть с оптическим управлением создана в России
Компания «Моторика» представила революционное устройство — бионический протез кисти Omni Hand. Это первый в мире протез, оснащённый оптическими датчиками (ОМГ), которые считывают сигналы не с мышц, а с сухожилий запястья. Такой подход открывает новые возможности для людей с ослабленными мышцами, например, после травм или обморожений.