Slevová nabídka pro více licencí
Databáze hrozeb Malware Špionážní software Batavia

Špionážní software Batavia

V roce Mezo v roce Malware, Spyware
Přeložit do:

Sofistikovaná kybernetická špionážní kampaň aktivně cílí na ruské organizace od července 2024. Jádrem operace je dříve nezdokumentovaný špionážní software s názvem Batavia, který je rozesílán prostřednictvím klamavých e-mailů, které se mají jevit jako legitimní nabídky smluv.

Řetězec infekce: Od e-mailu ke špionáži

Útok začíná pečlivě vytvořenými phishingovými e-maily odesílanými z domény oblast-ru.com ovládané útočníkem. Tyto zprávy lákají příjemce falešnou žádostí o podpis smlouvy a obsahují škodlivý odkaz. Kliknutím na odkaz se spustí stahování archivního souboru obsahujícího skript kódovaný ve Visual Basic (soubor .VBE).

Po spuštění skript provede průzkum shromažďováním podrobných informací o hostitelském systému a jejich odesláním na vzdálený server. Tím se spustí stažení sekundárního datového souboru, spustitelného souboru napsaného v Delphi.

Malware Delphi: Rozptýlení a krádež dat

Malware založený na Delphi pravděpodobně nabízí padělanou smlouvu, aby oběť udržel v kontaktu. Zároveň diskrétně shromažďuje řadu citlivých informací, včetně:

  • Systémové protokoly a informace o nainstalovaném softwaru
  • Dokumenty Microsoft Office a další typy dokumentů (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Snímky obrazovky a data z jakýchkoli vyměnitelných zařízení připojených k hostiteli

Funkce malwaru tím nekončí. Ze svého serveru Command-and-Control si také stáhne další binární soubor. Tento soubor je navržen tak, aby za účelem exfiltrace získal ještě širší škálu typů souborů.

Rozšířené možnosti sběru souborů

Binární soubor druhé fáze výrazně rozšiřuje rozsah ukradených dat a zahrnuje:

  • Obrázky a grafické soubory: *.jpeg, *.jpg, *.cdr
  • E-maily a textový obsah: *.eml, *.csv, *.txt, *.rtf
  • Prezentace a archivy: *.ppt, *.pptx, *.odp, *.rar, *.zip

Veškeré shromážděné informace jsou přesměrovány na jinou doménu, ru-exchange.com, která slouží také jako doručovací bod pro spustitelný soubor čtvrté fáze. Tato neznámá komponenta pravděpodobně pokračuje v útočném řetězci dalšími škodlivými akcemi.

Rozsáhlý dopad a shromážděná data

Během uplynulého roku se těmito phishingovými zprávami stalo terčem více než 100 uživatelů v několika desítkách organizací. Finální datová zátěž zajišťuje důkladný sběr dat, který odhaluje nejen osobní a firemní dokumenty, ale také:

  • Kompletní inventář nainstalovaného softwaru
  • Informace o ovladačích zařízení
  • Podrobnosti o komponentách operačního systému

Závěr: Koordinovaná a vyvíjející se hrozba špionáže

Špionážní kampaň Batavia odráží koordinovanou a přetrvávající hrozbu pro bezpečnost organizací v Rusku. Vícestupňový infekční řetězec spolu s jeho schopností extrahovat široké spektrum souborů a systémových informací jej označuje za impozantní špionážní nástroj. Organizace musí zůstat ostražité a přijímat proaktivní bezpečnostní opatření k obraně proti takovým pokročilým a klamavým útokům.

Trendy

Podvodné e-maily s kompenzačními platbami na...

Phishing, Nečestné webové stránky, Spam
V době, kdy dominují digitální transakce a online finanční služby, musí uživatelé zůstat ostražití vůči stále sofistikovanějším kybernetickým podvodům. Jedním z alarmujících schémat, které identifikovali analytici kybernetické bezpečnosti, je podvod s kompenzačními platbami Blockchain.com. Tento podvod, maskovaný profesionálním designem a přesvědčivými narativy, manipuluje s oběťmi, aby sdělily...

Nejvíce shlédnuto

Načítání...