Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Batavia Spyware

Batavia Spyware

Tegen Mezo in Malware, Spyware
Vertalen naar:

Sinds juli 2024 is een geavanceerde cyberespionagecampagne actief gericht op Russische organisaties. De kern van de operatie is een tot nu toe niet gedocumenteerde spyware genaamd Batavia, die wordt verspreid via misleidende e-mails die zijn ontworpen om eruit te zien als legitieme contractaanbiedingen.

De infectieketen: van e-mail tot spionage

De aanval begint met zorgvuldig opgestelde phishingmails, verzonden vanaf het door de aanvaller beheerde domein oblast-ru.com. Deze berichten lokken ontvangers met een vals verzoek tot contractondertekening en bevatten een schadelijke link. Door op de link te klikken, wordt een archiefbestand gedownload met een Visual Basic Encoded script (.VBE-bestand).

Na uitvoering voert het script verkenning uit door gedetailleerde informatie over het hostsysteem te verzamelen en deze naar een externe server te verzenden. Dit activeert de download van een secundaire payload, een uitvoerbaar bestand geschreven in Delphi.

Delphi-malware: afleiding en gegevensdiefstal

De Delphi-gebaseerde malware presenteert waarschijnlijk een vals contract om het slachtoffer bezig te houden. Ondertussen verzamelt het op discrete wijze diverse gevoelige informatie, waaronder:

  • Systeemlogboeken en informatie over geïnstalleerde software
  • Microsoft Office en andere documenttypen (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Schermafbeeldingen en gegevens van alle verwijderbare apparaten die op de host zijn aangesloten

De functionaliteit van de malware houdt daar niet op. Er wordt ook een extra binair bestand gedownload van de Command-and-Control-server. Dit bestand is ontworpen om een nog breder scala aan bestandstypen te verzamelen voor exfiltratie.

Uitgebreide mogelijkheden voor bestandsverzameling

De binaire optie in de tweede fase breidt de reikwijdte van de gestolen gegevens aanzienlijk uit, met onder meer:

  • Afbeeldingen en grafische bestanden: *.jpeg, *.jpg, *.cdr
  • E-mails en tekstuele inhoud: *.eml, *.csv, *.txt, *.rtf
  • Presentaties en archieven: *.ppt, *.pptx, *.odp, *.rar, *.zip

Alle verzamelde informatie wordt geëxfiltreerd naar een ander domein, ru-exchange.com, dat tevens dient als afleverpunt voor een uitvoerbaar bestand in de vierde fase. Deze onbekende component zet de aanvalsketen waarschijnlijk voort met verdere kwaadaardige acties.

Brede impact en verzamelde gegevens

Het afgelopen jaar zijn meer dan 100 gebruikers in tientallen organisaties het doelwit geweest van deze phishingberichten. De uiteindelijke payload zorgt voor een grondige dataverzameling, waarbij niet alleen persoonlijke en zakelijke documenten worden geëxfiltreerd, maar ook:

  • Een volledige inventarisatie van geïnstalleerde software
  • Informatie over apparaatstuurprogramma's
  • Details van besturingssysteemcomponenten

Conclusie: een gecoördineerde en evoluerende spionagedreiging

De Batavia-spywarecampagne weerspiegelt een gecoördineerde en aanhoudende bedreiging voor de veiligheid van organisaties in Rusland. De meerfasige infectieketen, gecombineerd met de mogelijkheid om een breed scala aan bestanden en systeeminformatie te extraheren, maakt het een geduchte spionagetool. Organisaties moeten waakzaam blijven en proactieve beveiligingsmaatregelen nemen om zich te verdedigen tegen dergelijke geavanceerde, misleidende aanvallen.

Trending

Blockchain.com Compensatiebetalingen E-mail Oplichting

Phishing, Schurkenwebsites, Spam
In een tijdperk waarin digitale transacties en online financiële diensten de boventoon voeren, moeten gebruikers waakzaam blijven voor steeds geavanceerdere cyberfraude. Een alarmerende truc die cybersecurityanalisten hebben geïdentificeerd, is de Blockchain.com Compensation Payments Scam. Deze oplichting, vermomd met een professioneel ontwerp en overtuigende verhalen, manipuleert slachtoffers...

Meest bekeken

Bezig met laden...