Исследователи выявили новую целевую кампанию против компаний из автомобильного и e-commerce секторов России. В атаках используется ранее неизвестный вредонос CAPI Backdoor, написанный на .NET ❕ Все начинается с фишинговых писем, содержащих ZIP-архив с документом, якобы связанным с «перерасчётом заработной платы». Вместе с ним внутри находится LNK-файл, который при открытии запускает DLL («adobe .dll») через rundll32 .exe - типичный LotL, использующий системные процессы После запуска CAPI Backdoor проверяет права администратора, собирает список антивирусов, открывает документ для отвлечения внимания и устанавливает соединение с командным сервером, откуда получает инструкции 🔴Модуль способен: ⚫️красть данные из браузеров Chrome, Edge, Firefox ⚫️делать скриншоты и собирать системную информацию ⚫️перечислять содержимое каталогов и отправлять собранные данные обратно оператору Для уклонения от анализа бэкдор проверяет наличие виртуальных машин и использует два механизма закрепления - создание задачи в планировщике и LNK-файла в автозагрузке