Pesquisadores em cibersegurança identificaram uma nova campanha direcionada, possivelmente, aos setores automotivo e de e-commerce na Rússia, que utiliza um malware .NET até então desconhecido, denominado CAPI Backdoor.
De acordo com o laboratório Seqrite Labs, o ataque tem início com o envio de e-mails de phishing contendo um arquivo comprimido no formato ZIP.
Esse arquivo, analisado a partir de um upload na plataforma VirusTotal em 3 de outubro de 2025, atua como vetor de infecção.
No interior do arquivo ZIP, encontra-se um documento falso em russo, que se apresenta como uma notificação sobre legislação do imposto de renda, além de um arquivo do tipo Windows shortcut (LNK).
O arquivo LNK possui o mesmo nome do ZIP (“Перерасчет заработной платы 01.10.2025”) e é responsável por executar o implante em .NET (“adobe.dll”) por meio do binário legítimo da Microsoft “rundll32.exe”.
Essa técnica, conhecida como living-off-the-land (LotL), é frequentemente empregada por agentes maliciosos para evitar detecção.
Segundo a Seqrite, o backdoor inclui funcionalidades para verificar se está sendo executado com privilégios de administrador, coletar uma lista dos antivírus instalados e abrir o documento falso para disfarce.
Simultaneamente, ele se conecta de forma furtiva a um servidor remoto (“91[.]223.75[.]96”) para obter comandos adicionais.
Entre as operações controladas via comandos estão o roubo de dados dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox, a captura de screenshots, a coleta de informações do sistema, a enumeração de pastas e a exfiltração dos dados para o servidor remoto.
Além disso, o malware realiza diversas verificações para identificar se está operando em uma máquina física legítima ou em ambiente virtualizado.
Para garantir persistência, utiliza dois métodos: cria uma tarefa agendada e adiciona um arquivo LNK na pasta de inicialização do Windows, fazendo com que o backdoor seja executado automaticamente a partir de uma DLL copiada para a pasta Roaming do sistema.
A suspeita de que o alvo seja o setor automotivo russo decorre do fato de que um dos domínios associados à campanha é “carprlce[.]ru”, que imita o nome do site legítimo “carprice[.]ru”.
“O payload malicioso é uma DLL em .NET que funciona como um stealer e estabelece mecanismos de persistência para atividades futuras”, explicam os pesquisadores Priya Patel e Subhajeet Singha.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...