Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari espia Batavia

Programari espia Batavia

El Mezo el Programari maliciós, Programari espia
Traduir a:

Una sofisticada campanya de ciberespionatge ha estat atacant activament organitzacions russes des del juliol del 2024. Al centre de l'operació hi ha un programari espia indocumentat prèviament anomenat Batavia, que es desplega a través de correus electrònics enganyosos dissenyats per aparèixer com a ofertes de contracte legítimes.

La cadena d’infecció: del correu electrònic a l’espionatge

L'atac comença amb correus electrònics de phishing acuradament elaborats, enviats des del domini oblast-ru.com controlat per l'atacant. Aquests missatges atrauen els destinataris amb una sol·licitud de signatura de contracte falsa i inclouen un enllaç maliciós. En fer clic a l'enllaç s'inicia la descàrrega d'un fitxer d'arxiu que conté un script codificat en Visual Basic (fitxer .VBE).

Un cop executat, l'script realitza un reconeixement recopilant informació detallada sobre el sistema amfitrió i transmetent-la a un servidor remot. Això activa la descàrrega d'una càrrega secundària, un executable escrit en Delphi.

Programari maliciós de Delphi: distracció i robatori de dades

El programari maliciós basat en Delphi probablement presenta un contracte fals per mantenir la víctima compromesa. Mentrestant, recopila discretament una varietat d'informació sensible, com ara:

  • Registres del sistema i informació del programari instal·lat
  • Microsoft Office i altres tipus de documents (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Captures de pantalla i dades de qualsevol dispositiu extraïble connectat a l'amfitrió

La funcionalitat del programari maliciós no acaba aquí. També descarrega un binari addicional del seu servidor de comandament i control. Aquest fitxer està dissenyat per recopilar una gamma encara més àmplia de tipus de fitxers per a l'exfiltració.

Capacitats ampliades de recopilació de fitxers

El binari de la segona etapa amplia significativament l'abast de les dades robades per incloure:

  • Imatges i fitxers gràfics: *.jpeg, *.jpg, *.cdr
  • Correus electrònics i contingut basat en text: *.eml, *.csv, *.txt, *.rtf
  • Presentacions i arxius: *.ppt, *.pptx, *.odp, *.rar, *.zip

Tota la informació recopilada s'exfiltra a un domini diferent, ru-exchange.com, que també serveix com a punt de lliurament per a un executable de quarta etapa. És probable que aquest component desconegut continuï la cadena d'atac amb més accions malicioses.

Impacte generalitzat i dades recollides

Durant l'últim any, més de 100 usuaris de diverses desenes d'organitzacions han estat objectiu d'aquests missatges de phishing. La càrrega útil final garanteix una recopilació exhaustiva de dades, exfiltrant no només documents personals i corporatius, sinó també:

  • Un inventari complet del programari instal·lat
  • Informació sobre els controladors de dispositius
  • Detalls dels components del sistema operatiu

Conclusió: una amenaça d’espionatge coordinada i en evolució

La campanya de programari espia Batavia reflecteix una amenaça coordinada i persistent a la seguretat organitzativa a Rússia. La cadena d'infecció en diverses etapes, juntament amb la seva capacitat per extreure un ampli espectre d'arxius i intel·ligència de sistemes, la marca com una formidable eina d'espionatge. Les organitzacions han de romandre vigilants i adoptar mesures de seguretat proactives per defensar-se contra aquests atacs avançats i enganyosos.

Tendència

Estafa per correu electrònic de pagaments de...

Phishing, Llocs web canalla, Correu brossa
En una era on dominen les transaccions digitals i els serveis financers en línia, els usuaris han de mantenir-se alerta contra les estafes cibernètiques cada cop més sofisticades. Un esquema alarmant identificat pels analistes de ciberseguretat és l'estafa de pagaments de compensació de Blockchain.com. Disfressada amb un disseny professional i narratives convincents, aquesta estafa manipula les...

Més vist

Carregant...