Área clientes

Nueva Backdoor .NET CAPI Dirigida a Empresas Rusas de Automoción y E-commerce mediante Phishing

Investigadores de ciberseguridad han revelado una nueva campaña que probablemente ha tenido como objetivo los sectores de automoción y comercio electrónico rusos con un malware .NET previamente no documentado llamado CAPI Backdoor. La cadena de ataque implica la distribución de correos electrónicos de phishing que contienen un archivo ZIP para desencadenar la infección. El análisis se basa en un artefacto ZIP subido a VirusTotal.

El archivo ZIP contiene un documento señuelo en ruso que simula ser una notificación relacionada con la legislación del impuesto sobre la renta y un archivo de acceso directo de Windows (LNK). El archivo LNK, con el mismo nombre que el archivo ZIP, ejecuta el implante .NET (“adobe.dll”) utilizando un binario legítimo de Microsoft llamado “rundll32.exe”, una técnica de ‘living-off-the-land’ (LotL) utilizada por actores de amenazas.

La backdoor CAPI puede verificar si se está ejecutando con privilegios de administrador, recopilar una lista de productos antivirus instalados y abrir el documento señuelo como una distracción, mientras se conecta sigilosamente a un servidor remoto (91.223.75[.]96) para recibir comandos adicionales para su ejecución.

Los comandos permiten a CAPI Backdoor robar datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox; tomar capturas de pantalla; recopilar información del sistema; enumerar el contenido de las carpetas; y exfiltrar los resultados de vuelta al servidor. También intenta ejecutar una larga lista de comprobaciones para determinar si se trata de un host legítimo o una máquina virtual, y utiliza dos métodos para establecer la persistencia: configurar una tarea programada y crear un archivo LNK en la carpeta de inicio de Windows para iniciar automáticamente la DLL de la backdoor copiada a la carpeta Windows Roaming.

La evaluación de Seqrite de que el actor de la amenaza se dirige al sector automovilístico ruso se debe al hecho de que uno de los dominios vinculados a la campaña se llama carprlce[.]ru, que parece suplantar al legítimo “carprice[.]ru”. Este malware .NET funciona como un ladrón de información y establece persistencia para actividades maliciosas futuras.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

Recapitulación semanal de ciberseguridad: Vulnerabilidad crítica en Fortinet, malware en Linux y riesgos en IA

El panorama actual de la ciberseguridad demuestra que la brecha entre una actualización rutinaria y un incidente grave es cada vez más estrecha. Durante esta semana, se ha reportado la explotación activa de la vulnerabilidad crítica CVE-2025-64155 en FortiSIEM de Fortinet. Este fallo permite a atacantes no autenticados ejecutar comandos

VoidLink: El sofisticado malware para Linux desarrollado con apoyo de Inteligencia Artificial

Recientes hallazgos de Check Point Research han revelado la existencia de VoidLink, un sofisticado framework de malware diseñado específicamente para obtener acceso persistente y sigiloso en entornos de nube basados en Linux. Lo que hace que este descubrimiento sea excepcional es la evidencia de que fue desarrollado predominantemente mediante el

Cisco corrige vulnerabilidad crítica Zero-Day en Unified CM y Webex explotada activamente

Cisco ha publicado actualizaciones de seguridad críticas para abordar una vulnerabilidad de día cero, identificada como CVE-2026-20045 (puntuación CVSS: 8.2), que afecta a múltiples productos de su línea Unified Communications (CM) y Webex Calling. Esta brecha de seguridad está siendo explotada activamente por atacantes en entornos reales. El problema técnico

Ataques automatizados en FortiGate explotan FortiCloud SSO para modificar configuraciones de firewall

Recientes informes de ciberseguridad han alertado sobre una nueva ola de ataques automatizados dirigidos a dispositivos FortiGate de Fortinet. Esta actividad maliciosa, identificada a principios de 2026, explota vulnerabilidades críticas registradas como CVE-2025-59718 y CVE-2025-59719, las cuales permiten evadir la autenticación de Single Sign-On (SSO) mediante mensajes SAML manipulados. El

El nuevo ransomware Osiris utiliza la técnica BYOVD para desactivar soluciones de seguridad

Investigadores de ciberseguridad han identificado una nueva familia de ransomware denominada Osiris, la cual ha comenzado a impactar a diversas organizaciones mediante tácticas de alta complejidad. A diferencia de variantes homónimas del pasado, este nuevo Osiris utiliza un controlador malicioso llamado POORTRY bajo la técnica conocida como Bring Your Own

Microsoft alerta sobre ataques avanzados de phishing AitM y compromiso de correo en el sector energético

Microsoft ha emitido una alerta sobre una sofisticada campaña de ciberataques dirigida a organizaciones del sector energético. Estos ataques emplean una técnica avanzada conocida como Adversario en el Medio (AitM) combinada con el Compromiso de Correo Empresarial (BEC). El proceso comienza con correos electrónicos de phishing enviados desde cuentas legítimas

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte