Investigadores de ciberseguridad han arrojado luz sobre una nueva campaña que probablemente se haya dirigido a los sectores del automóvil y del comercio electrónico rusos con un malware .NET previamente no documentado denominado Puerta trasera CAPI.
Según Seqrite Labs, la cautiverio de ataque implica la distribución de correos electrónicos de phishing que contienen un archivo ZIP como forma de desencadenar la infección. El prospección de la empresa de ciberseguridad se plinto en el artefacto ZIP que fue subido a la plataforma VirusTotal el 3 de octubre de 2025.
Próximo al archivo se encuentra un documento señuelo en ruso que pretende ser una notificación relacionada con la estatuto del impuesto sobre la renta y un archivo de ataque directo de Windows (LNK).
El archivo LNK, que tiene el mismo nombre que el archivo ZIP (es afirmar, “Перерасчет заработной платы 01.10.2025”), es responsable de la ejecución del implante .NET (“adobe.dll”) utilizando un binario lícito de Microsoft llamado “rundll32.exe”, una técnica de vida de la tierra (LotL) conocida por ser acogido por los actores de amenazas.
La puerta trasera, señaló Seqrite, viene con funciones para compulsar si se está ejecutando con privilegios de nivel de administrador, compendiar una cinta de productos antivirus instalados y aclarar el documento señuelo como una artimaña, mientras se conecta sigilosamente a un servidor remoto (“91.223.75(.)96”) para acoger más comandos para su ejecución.
Los comandos permiten a CAPI Backdoor robar datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox; tomar capturas de pantalla; compendiar información del sistema; enumerar el contenido de la carpeta; y exfiltrar los resultados de regreso al servidor.
Todavía intenta ejecutar una larga cinta de comprobaciones para determinar si es un host lícito o una máquina imaginario, y utiliza dos métodos para establecer la persistencia, incluida la configuración de una tarea programada y la creación de un archivo LNK en la carpeta de inicio de Windows para iniciar automáticamente la DLL de puerta trasera copiada en la carpeta de itinerancia de Windows.
La evaluación de Seqrite de que el actor de la amenaza tiene como objetivo el sector automovilístico ruso se debe al hecho de que uno de los dominios vinculados a la campaña se pasión carprlce(.)ru, que parece hacerse advenir por el lícito “carprice(.)ru”.
“La carga útil maliciosa es una DLL .NET que funciona como un carero y establece persistencia para futuras actividades maliciosas”, dijeron los investigadores Priya Patel y Subhajeet Singha.
