Un nuovo attacco informatico sta prendendo di mira le aziende dei settori automobilistico ed e-commerce in Russia, sfruttando una minaccia malware .NET finora sconosciuta, denominata CAPI Backdoor. Secondo i ricercatori di cybersecurity di Seqrite Labs, questa campagna malevola si sviluppa attraverso email di phishing che contengono un archivio ZIP infetto. L’analisi nasce dall’esame di un file ZIP caricato sulla piattaforma VirusTotal il 3 ottobre 2025.

All’interno dell’archivio ZIP si trova un documento in lingua russa, che funge da esca simulando una notifica riguardante normative fiscali, accompagnato da un file di collegamento Windows (LNK) con lo stesso nome dell’archivio. Il file LNK è progettato per avviare il payload dannoso, un file .NET denominato adobe.dll, tramite l’esecuzione del programma legittimo rundll32.exe, sfruttando così una tecnica nota come living-off-the-land (LotL). Questo approccio consente di utilizzare strumenti Windows originali per eludere le difese e rendere più difficile l’individuazione dell’attacco.

Funzionalità e modalità operative di CAPI Backdoor

Il malware CAPI Backdoor dispone di numerose funzionalità per compromettere il sistema bersaglio. Innanzitutto verifica se dispone di privilegi amministrativi, raccoglie informazioni sui software antivirus installati e apre il documento esca per distrarre l’utente, mentre in background stabilisce una connessione furtiva a un server remoto per ricevere ulteriori comandi. Tra le azioni malevole che può eseguire vi sono il furto di dati dai browser più diffusi come Chrome, Edge e Firefox, la cattura di screenshot, la raccolta di dettagli sul sistema e l’esfiltrazione dei dati raccolti verso l’infrastruttura dell’attaccante.

Meccanismi di persistenza e tecniche di evasione

Per persistere nel sistema, il malware esegue controlli per evitare ambienti virtuali o analisi forensi, quindi si assicura di riattivarsi a ogni riavvio grazie alla creazione di un’attività pianificata e di un file LNK nella cartella di avvio di Windows. In questo modo, la DLL dannosa viene eseguita automaticamente a ogni sessione dell’utente.

Le prove raccolte suggeriscono che il settore automobilistico russo è tra i principali bersagli, anche per la presenza di un dominio malevolo che imita quello di una nota piattaforma locale. Il payload, una DLL .NET, agisce sia come stealer sia come elemento di persistenza, facilitando future attività malevole sul sistema infetto. La campagna dimostra l’evoluzione delle tecniche di phishing e la crescente sofisticazione dei backdoor mirati alle grandi aziende.