新的 .NET CAPI 后门通过网络钓鱼 ZIP 攻击俄罗斯汽车和电子商务公司

网络安全研究人员发现了一项新的活动，该活动可能针对俄罗斯汽车和电子商务领域，使用一种之前未记录的 .NET 恶意软件（称为CAPI Backdoor）。

据Seqrite Labs称，攻击链涉及分发包含 ZIP 压缩包的网络钓鱼电子邮件，以此触发感染。这家网络安全公司的分析基于2025 年 10 月 3 日上传到 VirusTotal 平台的ZIP 文件。

档案中有一个诱饵俄语文档，据称是与所得税立法相关的通知和 Windows 快捷方式（LNK）文件。

LNK 文件与 ZIP 压缩文件同名（即“Перерасчет заработной платы 01.10.2025”），负责使用名为“ rundll32.exe ”的合法 Microsoft 二进制文件执行 .NET 植入程序（“adobe.dll”），这是一种已知威胁行为者采用的离地攻击 (LotL) 技术。

CIS 构建套件
Seqrite 指出，该后门具有检查其是否以管理员级别权限运行、收集已安装的防病毒产品列表以及打开诱饵文档的功能，同时它会秘密连接到远程服务器（“91.223.75[.]96”）以接收进一步的执行命令。

这些命令允许 CAPI Backdoor 从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器窃取数据；截取屏幕截图；收集系统信息；枚举文件夹内容；并将结果泄露回服务器。

它还尝试运行一长串检查来确定它是否是合法主机或虚拟机，并使用两种方法来建立持久性，包括设置计划任务和在 Windows 启动文件夹中创建 LNK 文件以自动启动复制到 Windows 漫游文件夹的后门 DLL。

Seqrite 认为该威胁行为者的目标是俄罗斯汽车行业，因为与该活动相关的域名之一名为 carprlce[.]ru，它似乎冒充了合法的“carprice[.]ru”。

研究人员 Priya Patel 和 Subhajeet Singha 表示：“恶意负载是一个 .NET DLL，它充当窃取程序并为未来的恶意活动建立持久性。”