Puerta trasera CAPI
Investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a los sectores automovilístico y de comercio electrónico rusos. El ataque aprovecha un malware .NET previamente no documentado, ahora identificado como CAPI Backdoor, que demuestra técnicas avanzadas de evasión y robo de datos.
Tabla de contenido
Vector de infección: phishing y archivos ZIP
La cadena de infección comienza con correos electrónicos de phishing que contienen un archivo ZIP. El análisis de un artefacto ZIP con fecha del 3 de octubre de 2025 reveló un documento falso en ruso que se hace pasar por una notificación relacionada con la legislación del impuesto sobre la renta. Este documento incluye un archivo de acceso directo de Windows (LNK) con el mismo nombre que el archivo: Перерасчет заработной платы 01.10.2025.
Este archivo LNK ejecuta la DLL de puerta trasera (adobe.dll) a través de un binario legítimo de Microsoft, rundll32.exe, empleando una técnica de vivir fuera de la tierra (LotL) comúnmente utilizada por actores de amenazas sofisticados.
Capacidades de puerta trasera: sigilo y robo de datos
Una vez ejecutado, CAPI Backdoor realiza múltiples tareas mientras mantiene el sigilo:
- Comprueba los privilegios de administrador
- Recopila una lista de productos antivirus instalados
- Abre el documento señuelo como distracción.
- Se conecta a un servidor remoto (91.223.75[.]96) para recibir comandos adicionales
Los comandos recibidos permiten al malware:
- Robar credenciales y datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox
- Capturar capturas de pantalla
- Recopilar información del sistema
- Enumerar el contenido de la carpeta y exfiltrarlo al servidor remoto
Mecanismos de evasión y persistencia
CAPI Backdoor emplea varias comprobaciones para determinar si se ejecuta en un entorno virtual o en un host real. Para la persistencia, utiliza dos métodos:
- Crear una tarea programada
- Colocar un archivo LNK en la carpeta de inicio de Windows para iniciar automáticamente la DLL de puerta trasera almacenada en la carpeta de roaming de Windows
- Estas medidas garantizan que el malware permanezca activo incluso después de reiniciar el sistema.
Atribución de objetivos e indicadores
Los expertos vinculan la campaña con el sector automovilístico ruso debido al uso del dominio carprlce.ru, probablemente suplantando al legítimo carprice.ru.
El malware en sí es una DLL .NET diseñada principalmente como un ladrón, que establece persistencia para operaciones maliciosas continuas mientras exfiltra información confidencial.
