کمیته رکن چهارم– یک بدافزار جدید با نام CAPI Backdoor در قالب فایلهای ZIP آلوده، کاربران حوزه خودرو و تجارت الکترونیک در روسیه را هدف قرار داده است. این حمله از طریق ایمیلهای فیشینگ انجام میشود که حاوی فایلهایی با ظاهر قانونی هستند، اما پس از باز شدن، بدافزار را در سیستم فعال میکنند.
به گزارش کمیته رکن چهارم، فایل ZIP شامل یک سند به زبان روسی و یک فایل میانبر ویندوز (LNK) است که با ظاهری شبیه به اسناد اداری، کاربران را فریب میدهد. این فایل، بدافزار را با کمک برنامه داخلی ویندوز اجرا میکند. روش استفاده از ابزارهای قانونی برای اجرای کدهای مخرب، یکی از ترفندهای رایج در حملات سایبری است.
بدافزار CAPI Backdoor پس از فعال شدن، اطلاعاتی مانند نام آنتیویروس، مشخصات سیستم، و محتوای مرورگرها را جمعآوری کرده و برای سرور مهاجم ارسال میکند. این بدافزار همچنین میتواند از صفحه کاربر اسکرینشات بگیرد و محتوای پوشهها را بررسی کند.
برای باقیماندن در سیستم، بدافزار از دو روش استفاده میکند: یکی تنظیم یک وظیفه زمانبندیشده برای اجرای خودکار، و دیگری قرار دادن فایل اجرایی در بخش راهاندازی ویندوز.
یکی از سرنخهای این حمله، شباهت نام دامنه مورد استفاده با سایت رسمی فروش خودرو در روسیه است. این موضوع احتمال هدفگیری خاص صنعت خودرو را تقویت میکند.
پژوهشگران امنیتی هشدار دادهاند که این بدافزار علاوه بر جمعآوری اطلاعات، میتواند زمینهساز حملات بعدی باشد. کاربران باید از باز کردن فایلهای ناشناس بهویژه ZIP و میانبرهای LNK خودداری کرده و از ابزارهای ضد بدافزار بهروز استفاده کنند.
