Novo backdoor .NET CAPI ataca setores automotivo e de e-commerce russo com phishing e arquivos ZIP

Pesquisadores da Seqrite Labs lançaram luz sobre uma nova e direcionada campanha cibernética que tem como alvo provável os setores automotivo e de comércio eletrônico da Rússia. A campanha utiliza um malware .NET inédito, denominado CAPI Backdoor, que se disfarça em e-mails de phishing relacionados a impostos para infectar sistemas e roubar informações sensíveis.

A cadeia de ataque, descoberta a partir de um artefato ZIP carregado na plataforma VirusTotal em 3 de outubro de 2025, começa com a distribuição de e-mails de phishing contendo um anexo ZIP. Dentro do arquivo compactado, a vítima encontra um documento falso escrito em russo, que simula ser uma notificação sobre legislação de imposto de renda, e um arquivo de atalho do Windows (LNK).

O arquivo LNK é o vetor de infecção: ele é projetado para executar o implante .NET ("adobe.dll") por meio de um binário legítimo do Microsoft, o "rundll32.exe". Essa técnica é um exemplo clássico de Living-off-the-Land (LotL), na qual os hackers utilizam ferramentas e processos nativos do sistema operacional para disfarçar atividades maliciosas e evitar a detecção por soluções de segurança.

O CAPI Backdoor demonstra múltiplas funções projetadas para furtividade e coleta de dados. Imediatamente após a execução, ele verifica se está sendo executado com privilégios de administrador, lista os produtos antivírus instalados e abre o documento falso sobre imposto de renda como uma manobra para desviar a atenção do usuário.

Enquanto isso, o backdoor se conecta secretamente a um servidor remoto de Comando e Controle (C2) – 91.223.75[.]96 – para receber e executar comandos adicionais. Tais comandos concedem ao CAPI Backdoor capacidades abrangentes de roubo de dados, que incluem:

• Coleta de dados e credenciais de navegadores populares (Google Chrome, Microsoft Edge e Mozilla Firefox).

• Captura de telas do sistema.

• Coleta de informações detalhadas do sistema e enumeração do conteúdo das pastas.

• Exfiltração dos resultados de volta para o servidor C2.

Além da coleta de dados, o malware realiza uma extensa lista de verificações para determinar se o ambiente de execução é um host legítimo ou uma máquina virtual, uma tática comum para evadir análises de segurança. Para garantir acesso futuro, o CAPI Backdoor estabelece persistência usando dois métodos: configurando uma tarefa agendada e criando um arquivo LNK na pasta de Inicialização do Windows, o que garante o start automático da DLL maliciosa a cada boot.

A avaliação da Seqrite de que o alvo principal é o setor automotivo russo é sustentada por um dos domínios associados à campanha, chamado carprlce[.]ru, que se assemelha de perto ao endereço legítimo do site de preços de carros carprice[.]ru, reforçando a natureza direcionada do ataque de phishing.

Via - THN