Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Batavia kémprogram

Batavia kémprogram

Mezo -ra Malware, Spyware-ben
Fordítás ide:

Egy kifinomult kiberkémkedési kampány 2024 júliusa óta aktívan célozza meg az orosz szervezeteket. A művelet középpontjában egy korábban nem dokumentált, Batavia nevű kémprogram áll, amelyet megtévesztő e-maileken keresztül telepítenek, amelyek célja, hogy legitim szerződéses ajánlatoknak tűnjenek.

A fertőzési lánc: az e-mailtől a kémkedésig

A támadás gondosan összeállított adathalász e-mailekkel kezdődik, amelyeket a támadó által ellenőrzött oblast-ru.com domainről küldenek. Ezek az üzenetek hamis szerződésaláírási kérelemmel csábítják a címzetteket, és egy rosszindulatú linket tartalmaznak. A linkre kattintva egy Visual Basic kódolású szkriptet (.VBE fájl) tartalmazó archív fájl letöltése indul el.

A futtatás után a szkript felderítést végez azáltal, hogy részletes információkat gyűjt a gazdarendszerről, és elküldi azokat egy távoli szerverre. Ez elindítja egy másodlagos hasznos fájl, egy Delphiben írt futtatható fájl letöltését.

Delphi kártevő: Figyelemelterelés és adatlopás

A Delphi-alapú kártevő valószínűleg egy hamisított szerződést mutat be, hogy fenntartsa az áldozat érdeklődését. Eközben diszkréten gyűjt különféle érzékeny információkat, többek között:

  • Rendszernaplók és telepített szoftverek adatai
  • Microsoft Office és egyéb dokumentumtípusok (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Képernyőképek és adatok a gazdagéphez csatlakoztatott cserélhető eszközökről

A kártevő funkcionalitása ezzel nem ér véget. Emellett egy további bináris fájlt is letölt a Command-and-Control szerveréről. Ez a fájl még szélesebb körű fájltípusok gyűjtésére szolgál a kiszűrés céljából.

Bővített fájlgyűjtési lehetőségek

A második szakaszú bináris fájl jelentősen kibővíti az ellopott adatok körét, és a következőket tartalmazza:

  • Képek és grafikus fájlok: *.jpeg, *.jpg, *.cdr
  • E-mailek és szöveges tartalmak: *.eml, *.csv, *.txt, *.rtf
  • Prezentációk és archívumok: *.ppt, *.pptx, *.odp, *.rar, *.zip

Az összes összegyűjtött információ egy másik domainre, a ru-exchange.com-ra kerül, amely egyben egy negyedik szintű futtatható fájl kézbesítési pontjaként is szolgál. Ez az ismeretlen komponens valószínűleg további rosszindulatú tevékenységekkel folytatja a támadási láncot.

Széles körű hatás és gyűjtött adatok

Az elmúlt évben több mint 100 felhasználót céloztak meg ezekkel az adathalász üzenetekkel több tucat szervezetben. A végső hasznos adatcsomag alapos adatgyűjtést biztosít, nemcsak a személyes és vállalati dokumentumokat szivárogtatva ki, hanem a következőket is:

  • A telepített szoftverek teljes listája
  • Információk az eszközillesztőkről
  • Az operációs rendszer összetevőinek részletei

Következtetés: Koordinált és folyamatosan fejlődő kémfenyegetés

A Batavia kémprogram-kampány az oroszországi szervezetek biztonságára leselkedő összehangolt és állandó fenyegetést tükrözi. A többlépcsős fertőzési lánc, valamint a fájlok és rendszerinformációk széles spektrumának kinyerésére való képessége félelmetes kémkedési eszközzé teszi. A szervezeteknek ébernek kell maradniuk, és proaktív biztonsági intézkedéseket kell bevezetniük az ilyen fejlett, megtévesztő támadások elleni védekezés érdekében.

Felkapott

Blockchain.com kártérítési kifizetésekkel...

Adathalászat, Rogue Websites, Spam
Egy olyan korban, amikor a digitális tranzakciók és az online pénzügyi szolgáltatások dominálnak, a felhasználóknak ébernek kell maradniuk az egyre kifinomultabb kibercsalások ellen. A kiberbiztonsági elemzők által azonosított egyik riasztó rendszer a Blockchain.com kártérítési kifizetésekkel kapcsolatos átverés. Professzionális dizájnnal és meggyőző narratívákkal álcázott ez az átverés, amely...

Legnézettebb

Betöltés...