Изображение: recraft
С июля 2024 года в России фиксируется масштабная кампания кибершпионажа, в рамках которой неизвестные злоумышленники рассылают вредоносные письма сотрудникам организаций. Целью атак стал шпионский модуль Batavia, предназначенный для кражи документов и другой конфиденциальной информации. Об этом сообщается в исследовании «Лаборатории Касперского».
По данным специалистов, атака начинается с типового письма, оформленного под деловую переписку. Получателю предлагают ознакомиться с якобы деловым документом по ссылке, однако за ней скрывается скрипт на языке VBS. Названия файлов варьируются — «договор-2025-5.vbe», «приложение.vbe» и им подобные — но содержат одну и ту же вредоносную нагрузку. Рассылка активна с июля прошлого года, и по состоянию на июнь 2025 года полностью не прекращена.
На первом этапе вредоносный скрипт загружает на устройство файл WebView.exe. Он получает команды с серверов злоумышленников, а также информацию о системе, которую отправляет обратно. Скрипт выбирает метод запуска в зависимости от версии ОС: если параметры совпадают с заданными, используется прямая активация, в противном случае — обходной механизм.
На втором этапе скомпрометированное устройство получает исполняемый файл WebView.exe, написанный на Delphi. Зловред отображает ложное окно с псевдодокументом, а параллельно начинает сбор информации. С компьютера выгружаются журналы установки драйверов, список установленных программ и документы офисных форматов. Кроме того, программа делает скриншоты и сравнивает новые файлы с уже переданными, чтобы избежать повторной передачи данных.
Затем Batavia переходит к третьему этапу заражения. Новый файл javav.exe, созданный на C++, расширяет функциональность. Помимо прежних типов файлов, в список добавлены изображения, таблицы, архивы, письма и презентации. Вредоносный код включает команды на смену командного центра и загрузку дополнительного ПО. Передача новых данных сопровождается обращениями к командному серверу, при этом все коммуникации маскируются под законную активность.
Для запуска следующей фазы вредоносной программы используется приём обхода контроля UAC, при котором модифицируются параметры системных ключей реестра. Запускаемый файл windowsmsg.exe, предположительно, служит контейнером для дальнейшей полезной нагрузки, но на момент анализа доступ к нему был уже закрыт.
Оригинал публикации на сайте CISOCLUB: "Вирус Batavia атакует российские предприятия через многоступенчатое заражение, маскируясь под служебные документы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.