HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一场新型攻击活动,该活动疑似通过一款此前未被记录的.NET 恶意软件(代号 “CAPI 后门程序”),针对俄罗斯汽车行业与电子商务领域发起攻击。
根据 Seqrite 实验室的调查,此次攻击链的核心环节是发送钓鱼邮件,邮件中包含一个 ZIP 压缩包,攻击者通过该压缩包触发感染流程。该网络安全公司的分析基于 2025 年 10 月 3 日上传至 VirusTotal 平台的一个 ZIP 样本。
该 ZIP 压缩包内包含两个关键文件:
- 一份俄语诱饵文档,伪装成与所得税法规相关的通知;
- 一个 Windows 快捷方式(LNK 文件)。
这份 LNK 文件与 ZIP 压缩包同名(即 “Перерасчет заработной платы 01.10.2025”,俄语意为 “2025 年 10 月 1 日薪资重算”),其作用是借助微软合法二进制文件 “rundll32.exe” 执行.NET 植入程序(“adobe.dll”)。这种技术被称为 “living-off-the-land(LotL,就地取材)”,是网络攻击者常用的手段之一。
Seqrite 指出,该后门程序具备多项核心功能:
- 检查自身是否以管理员权限运行;
- 收集已安装的杀毒软件列表;
- 打开诱饵文档作为伪装,同时秘密连接远程服务器(地址:91.223.75 [.] 96)以接收后续执行指令。
通过这些指令,CAPI 后门程序可实现以下恶意操作:
- 从谷歌 Chrome、微软 Edge、火狐(Mozilla Firefox)等浏览器中窃取数据;
- 截取屏幕截图;
- 收集系统信息;
- 枚举文件夹内容;
- 将获取的结果回传至远程服务器。
此外,该后门程序还会执行一系列检测,判断当前运行环境是合法主机还是虚拟机。它通过两种方式实现持久化:
- 创建计划任务;
- 在 Windows “启动” 文件夹中生成 LNK 文件,确保复制到 Windows Roaming 文件夹的后门 DLL 文件能随系统自动启动。
Seqrite 判断攻击者瞄准俄罗斯汽车行业的依据是:与此次攻击活动相关的一个域名 “carprlce [.] ru”,疑似仿冒合法域名 “carprice [.] ru”(“carprice [.] ru” 通常与汽车价格查询、汽车行业服务相关)。
研究人员普里亚・帕特尔(Priya Patel)与苏巴吉特・辛格(Subhajeet Singha)表示:“该恶意载荷是一款.NET DLL 文件,既具备窃取功能,又能为后续恶意活动建立持久化机制。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
