أظهرت أبحاث الأمن السيبراني حملة هجومية جديدة استهدفت على الأرجح قطاعَي السيارات والتجارة الإلكترونية في روسيا بواسطة برمجية خبيثة غير موثّقة سابقًا تعمل على إطار عمل .NET وُسمت باسم CAPI Backdoor. قامت شركة Seqrite Labs بتحليل سلسلة الهجوم اعتمادًا على ملف ZIP عيّنة رُفِع إلى منصة VirusTotal في 3 أكتوبر 2025، يكشف عن أسلوب اصطياد إلكتروني بسيط وفعّال يعتمد على طُعم محلي اللغة والاختباء وراء اختصارات Windows.
سلسلة العدوى وآليات التسليم
تنتشر الحملة عبر رسائل بريد إلكتروني تحتوي على أرشيف ZIP يضم مستندًا محلي اللغة (طُعمًا متعلقًا بتشريعات ضريبية على الدخل) وملف اختصار Windows (LNK). يتحمّل ملف الاختصار تنفيذ الحِمولة من خلال استدعاء مكتبة DLL خبيثة باسم “adobe.dll” عبر برنامج نظامي شرعي “rundll32.exe”، وهو أسلوب معروف بالاعتماد على أدوات النظام المشروعة (Living-off-the-Land) لتجنب الكشف.
قدرات الباب الخلفي وسلوكه التشغيلي
حدد الباحثون أن النسخة الخبيثة من CAPI Backdoor تَفحص ما إذا كانت تعمل بصلاحيات مسؤول النظام، وتجمع قائمة ببرامج مضادّة الفيروسات المثبتة، وتفتح المستند الطعم لإيهام الضحية بنشاط مشروع، بينما تتواصل بصمت مع خادم تحكّم عن بُعد (“91.223.75[.]96”) لاستقبال أوامر تنفيذية لاحقة. تُمكّن الأوامر المهاجم من سرقة بيانات المتصفحات (مثل Google Chrome وMicrosoft Edge وMozilla Firefox)، التقاط لقطات شاشة، جمع معلومات النظام، تعداد محتويات المجلدات، وإرسال النتائج إلى الخادم البعيد.
مقاومة التحليل وطرق الاستمرارية
تبدي البرمجية مقاومةً لبيئات التحليل عبر سلسلة فحوصات لكشف ما إذا كان المضيف جهازًا فعليًا أو جهازًا ظاهريًا، كما تُشير التحليلات إلى طريقتين لإنشاء ثبات دائم: جدولة مهمة مجدولة (scheduled task) وإنشاء ملف اختصار (LNK) في مجلد Startup لنظام ويندوز لتشغيل DLL الخلفي المنسوخ إلى مجلد Roaming تلقائيًا. يُظهر التحليل أن الحمولة تعمل كـ “ستيلر” (Stealer) وتُمهّد لأنشطة خبيثة لاحقة.
مؤشرات الاستهداف والدلالات العملياتية
رجّح باحثو Seqrite أن الجهة المهاجمة تستهدف قطاع السيارات في روسيا استنادًا إلى ظهور نطاق مرتبط بالحملة يحمل اسمًا يوحي بانتحال موقع تجاري (“carprlce[.]ru” بديلًا عن carprice[.]ru). يشير ذلك إلى استخدام الخداع المستهدف والتقنيات الاجتماعية الموجهة لرفع احتمالية نجاح الهجمة. توصيف الباحثين يبرز أن الحملة تُظهر نية جمع معلومات تجسسية قد تُستخدم لاحقًا لخرق عمليات أو سرقة بيانات حساسة في مؤسسات تجارية وتقنية.
