Preventivo sconto multi-licenza
Database delle minacce Malware Spyware Batavia

Spyware Batavia

Entro Mezo nel Malware, Spia
Traduci in:

Una sofisticata campagna di cyberspionaggio ha preso di mira attivamente le organizzazioni russe dal luglio 2024. Al centro dell'operazione c'è uno spyware precedentemente non documentato chiamato Batavia, che viene diffuso tramite e-mail ingannevoli, concepite per apparire come legittime offerte contrattuali.

La catena dell’infezione: dalla posta elettronica allo spionaggio

L'attacco inizia con email di phishing accuratamente elaborate, inviate dal dominio oblast-ru.com, controllato dall'aggressore. Questi messaggi attirano i destinatari con una falsa richiesta di firma di un contratto e includono un link dannoso. Cliccando sul link, si avvia il download di un file di archivio contenente uno script in Visual Basic Encoded (file .VBE).

Una volta eseguito, lo script esegue una ricognizione raccogliendo informazioni dettagliate sul sistema host e trasmettendole a un server remoto. Questo attiva il download di un payload secondario, un eseguibile scritto in Delphi.

Malware Delphi: distrazione e furto di dati

Il malware basato su Delphi probabilmente presenta un contratto contraffatto per mantenere viva l'attenzione della vittima. Nel frattempo, raccoglie discretamente una serie di informazioni sensibili, tra cui:

  • Registri di sistema e informazioni sul software installato
  • Microsoft Office e altri tipi di documenti (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Screenshot e dati da tutti i dispositivi rimovibili connessi all'host

Le funzionalità del malware non finiscono qui. Scarica anche un file binario aggiuntivo dal suo server di comando e controllo. Questo file è progettato per raccogliere una gamma ancora più ampia di tipi di file da esfiltrare.

Funzionalità di raccolta file ampliate

Il binario di seconda fase amplia significativamente la portata dei dati rubati, includendo:

  • Immagini e file grafici: *.jpeg, *.jpg, *.cdr
  • Email e contenuti testuali: *.eml, *.csv, *.txt, *.rtf
  • Presentazioni e archivi: *.ppt, *.pptx, *.odp, *.rar, *.zip

Tutte le informazioni raccolte vengono esfiltrate su un dominio diverso, ru-exchange.com, che funge anche da punto di consegna per un eseguibile di quarta fase. Questo componente sconosciuto probabilmente continua la catena di attacco con ulteriori azioni dannose.

Impatto diffuso e dati raccolti

Nell'ultimo anno, oltre 100 utenti di diverse decine di organizzazioni sono stati presi di mira da questi messaggi di phishing. Il payload finale garantisce una raccolta dati completa, esfiltrando non solo documenti personali e aziendali, ma anche:

  • Un inventario completo del software installato
  • Informazioni sui driver dei dispositivi
  • Dettagli dei componenti del sistema operativo

Conclusione: una minaccia di spionaggio coordinata e in evoluzione

La campagna di spyware Batavia riflette una minaccia coordinata e persistente alla sicurezza organizzativa in Russia. La catena di infezione a più stadi, unita alla sua capacità di estrarre un'ampia gamma di file e informazioni di sistema, la contraddistingue come un formidabile strumento di spionaggio. Le organizzazioni devono rimanere vigili e adottare misure di sicurezza proattive per difendersi da questi attacchi avanzati e ingannevoli.

Tendenza

Truffa via email sui pagamenti di compensazione di...

Phishing, Siti Web non autorizzati, Spam
In un'epoca dominata dalle transazioni digitali e dai servizi finanziari online, gli utenti devono rimanere vigili contro truffe informatiche sempre più sofisticate. Una strategia allarmante individuata dagli analisti di sicurezza informatica è la truffa Blockchain.com Compensation Payments. Camuffata con un design professionale e narrazioni convincenti, questa truffa manipola le vittime...

I più visti

Caricamento in corso...