Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.
Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.
Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.
Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.
Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.