Компания F6, разработчик технологий для борьбы с киберпреступностью, зафиксировала новую кампанию вредоносных рассылок. Злоумышленники направляют письма под видом инструкций по действиям при минной угрозе и требования предоставить отчетность по противодействию информационным атакам. Кампания по распространению бэкдора Capdoor нацелена на ритейлеров, коллекторские агентства, микрофинансовые учреждения, страховые компании. Специалисты F6 присвоили группе имя CapFIX.

11 ноября система F6 MXDR заблокировала вредоносную рассылку с использованием спуфинга почты российского туристического агентства. Аналитики центра кибербезопасности и Threat Intelligence F6 обнаружили, что письма распространяли бэкдор CapDoor.

CapDoor — бэкдор, обнаруженный в 2025 г. в ходе исследования атаки с использованием вредоносной капчи (ClickFIX).

Как происходила атака?

Злоумышленники направляли письма под видом рекомендаций якобы от ФСБ по поведению при минной угрозе, а также требований предоставить отчетность по противодействию информационным атакам.

Внешний вид вложения побуждал жертву скачать по ссылке программный комплекс «КриптоПро» для корректного отображения.

Ссылка вела на домен, при переходе на устройство жертвы загружался защищенный паролем архив с именем «Пакет установки КриптоПРО.rar».

Анализ одного из вредоносных вложений на Malware Detonation Platform F6.

Финальная нагрузка представляет собой модифицированную версию бэкдора Capdoor для x64 архитектуры.

12 и 13 ноября злоумышленники провели повторную рассылку — система F6 MXDR заблокировала еще несколько писем, направленных в рамках этой же кампании в адрес сетевого ритейлера и финорганизаций.

Короткая ссылка