Новый бэкдор CAPI нацелен на автопром и онлайн-ретейл в России
Главная » Новости

Новый бэкдор CAPI нацелен на автопром и онлайн-ретейл в России

Екатерина Быстрова 20 Октября 2025 - 09:32
...
Новый бэкдор CAPI нацелен на автопром и онлайн-ретейл в России

Эксперты из Seqrite Labs рассказали о новой киберкампании, нацеленной, предположительно, на российские компании из автомобильной отрасли и онлайн-ретейла. Киберпреступники используют ранее неизвестный вредонос под названием CAPI, написанный на .NET.

Заражение начинается с фишингового письма, к которому прикреплён ZIP-архив. Внутри — русскоязычный документ-приманка с темой о перерасчёте зарплаты, а также ярлык Windows (LNK-файл) под тем же именем — «Перерасчет заработной платы 01.10.2025».

Запуск ярлыка активирует файл adobe.dll — тот самый бэкдор CAPI — с помощью системной утилиты rundll32.exe, что позволяет обойти защитные программы. Этот приём известен как Living-off-the-Land (LotL) — использование легитимных инструментов Windows в злонамеренных целях.

Что умеет CAPI Backdoor

После запуска вредонос проверяет, запущен ли он с правами администратора, собирает список установленных антивирусов и открывает поддельный документ, чтобы отвлечь внимание пользователя. Параллельно он устанавливает соединение с удалённым сервером 91.223.75[.]96, откуда получает команды.

CAPI Backdoor способен:

  • красть данные из браузеров Chrome, Edge и Firefox;
  • делать скриншоты экрана;
  • собирать системную информацию и список файлов;
  • отправлять всё это злоумышленникам.

Чтобы закрепиться в системе, троян создаёт задачу в Планировщике и ярлык в директории автозагрузки Windows, обеспечивая автоматический запуск при перезагрузке.

Seqrite полагает, что кампания направлена на российские автокомпании, так как один из связанных доменов — carprlce[.]ru — имитирует популярный сайт carprice[.]ru.

«Вредоносная DLL выполняет функции стилера и закрепляется в системе для дальнейших атак», — отметили исследователи Прия Патель и Субхаджит Сингха.

Пока неизвестно, кто стоит за этой атакой, но кампания выглядит как таргетированная и хорошо подготовленная — с использованием реалистичных документов, точечных доменов и продуманной техникой маскировки.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

В России в 1,5 раза выросло число заражений NFC-троянами для Android
Екатерина Быстрова 05 Декабря 2025 - 15:38
Android Трояны Домашние пользователи Лаборатория Касперского
В России в 1,5 раза выросло число заражений NFC-троянами для Android

Во втором полугодии 2025 года кибермошенники в России заметно активизировались. По данным «Лаборатории Касперского», в третьем квартале число попыток заражения Android-смартфонов NFC-троянами выросло более чем в полтора раза и превысило 44 тысячи случаев.

При этом эксперты отмечают интересный сдвиг: если раньше злоумышленники чаще использовали схему «прямого NFC», то теперь всё большую популярность набирает так называемый «обратный NFC».

В этой схеме мошенник выходит на потенциальную жертву через мессенджер и предлагает установить якобы «служебное» приложение для верификации клиента. На деле это вредоносная программа.

После установки жертву убеждают приложить банковскую карту к задней панели смартфона и ввести ПИН-код. Вредонос передаёт данные карты злоумышленникам, которые могут сразу снимать с неё деньги или осуществлять бесконтактные платежи от имени владельца.

Этот метод становится всё популярнее. Жертве присылают APK-файл и уговаривают установить приложение, выдавая его за полезный инструмент. Если пользователь делает зловред основным способом бесконтактной оплаты, смартфон начинает передавать в банкомат сигнал не как его карта, а как карта злоумышленника.

Дальше всё выглядит как обычная просьба «перевести средства на безопасный счёт». Мошенник просит поднести телефон к банкомату и внести деньги — и жертва собственными руками отправляет средства на счёт преступников. Именно поэтому такая схема опаснее: транзакции выглядят вполне легальными.

«С конца 2024 года мы наблюдаем развитие атак с использованием NFC и специальных вредоносных утилит», — объясняет Дмитрий Калинин, эксперт «Лаборатории Касперского». По его словам, подобные техники уже применялись за рубежом, а теперь всё чаще встречаются и в России.

«Если раньше акцент делался на „прямом NFC“, то теперь мы всё чаще видим „обратный NFC“. Опасность этой схемы в том, что жертва сама совершает перевод, и такие операции почти невозможно отличить от обычных», — добавляет он.

Решения «Лаборатории Касперского» определяют подобные вредоносные утилиты как Trojan-Banker.AndroidOS.Ganfyc.

Не так давно мы писали, что для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
Четыре бага в Windows Defender Firewall позволяли получить права SYSTEM
Новость
Четыре бага в Windows Defender Firewall позволяли получить п...
Bloody Wolf атакует Кыргызстан и Узбекистан через поддельные документы
Новость
Bloody Wolf атакует Кыргызстан и Узбекистан через поддельные...
Pixnapping: скрытая атака на Android, которая читает пиксели экрана
Новость
Pixnapping: скрытая атака на Android, которая читает пиксели...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.