Компания F6, создающая решения для противодействия киберпреступлениям, выявила новую волну вредоносных рассылок. Злоумышленники рассылают сообщения, маскирующиеся под руководства по поведению при угрозе взрыва и запросы о предоставлении отчетов по защите от информационных атак. Эта кампания по распространению бэкдора Capdoor ориентирована на розничные сети, агентства по взысканию долгов, микрофинансовые и страховые организации. Эксперты F6 присвоили данной группе обозначение CapFIX.
11 ноября платформа F6 MXDR предотвратила вредоносную рассылку, в которой использовалась подделка почтового адреса российского туроператора. Специалисты центра кибербезопасности и Threat Intelligence F6 установили, что в письмах распространялся бэкдор CapDoor.
CapDoor — это бэкдор, впервые обнаруженный в 2025 году при анализе атаки с применением вредоносной капчи (ClickFIX).
Как осуществлялось нападение?
Злоумышленники рассылали письма, выдавая их за рекомендации ФСБ о действиях при угрозе минирования, а также за официальные запросы о предоставлении отчетности по защите от информационных атак.
Внешний вид вложенного файла побуждал получателя скачать программный комплекс «КриптоПро» по указанной ссылке для правильного отображения содержимого.
Ссылка направляла на домен, при переходе на который на устройство жертвы загружался защищенный паролем архив с названием «Пакет установки КриптоПРО.rar».
Исследование одного из вредоносных вложений на платформе анализа вредоносного ПО F6.
Конечная полезная нагрузка представляет собой адаптированную версию бэкдора Capdoor для архитектуры x64.
12 и 13 ноября злоумышленники провели дополнительную рассылку — система F6 MXDR заблокировала еще серию писем, отправленных в рамках этой же кампании в адрес сетевого ритейлера и финансовых учреждений.
