Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Spyware Batávia

Spyware Batávia

Por Mezo em Malware, Spyware
Traduzir Para:

Uma sofisticada campanha de ciberespionagem tem como alvo ativo organizações russas desde julho de 2024. No centro da operação está um spyware até então não documentado chamado Batavia, que é implantado por meio de e-mails enganosos projetados para parecer ofertas de contrato legítimas.

A cadeia de infecção: do e-mail à espionagem

O ataque começa com e-mails de phishing cuidadosamente elaborados, enviados do domínio oblast-ru.com, controlado pelo invasor. Essas mensagens atraem os destinatários com uma solicitação falsa de assinatura de contrato e incluem um link malicioso. Ao clicar no link, é iniciado o download de um arquivo compactado contendo um script codificado em Visual Basic (arquivo .VBE).

Uma vez executado, o script realiza um reconhecimento coletando informações detalhadas sobre o sistema host e transmitindo-as para um servidor remoto. Isso aciona o download de um payload secundário, um executável escrito em Delphi.

Malware Delphi: Distração e Roubo de Dados

O malware baseado em Delphi provavelmente apresenta um contrato falso para manter a vítima engajada. Enquanto isso, ele coleta discretamente uma variedade de informações confidenciais, incluindo:

  • Logs do sistema e informações de software instalado
  • Microsoft Office e outros tipos de documentos (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Capturas de tela e dados de quaisquer dispositivos removíveis conectados ao host

A funcionalidade do malware não para por aí. Ele também baixa um binário adicional do seu servidor de Comando e Controle. Este arquivo foi projetado para coletar uma gama ainda maior de tipos de arquivos para exfiltração.

Capacidades expandidas de coleta de arquivos

O binário de segundo estágio expande significativamente o escopo de dados roubados para incluir:

  • Imagens e arquivos gráficos: *.jpeg, *.jpg, *.cdr
  • E-mails e conteúdo baseado em texto: *.eml, *.csv, *.txt, *.rtf
  • Apresentações e arquivos: *.ppt, *.pptx, *.odp, *.rar, *.zip

Todas as informações coletadas são exfiltradas para um domínio diferente, ru-exchange.com, que também serve como ponto de entrega para um executável de quarto estágio. Esse componente desconhecido provavelmente continua a cadeia de ataques com outras ações maliciosas.

Impacto generalizado e dados coletados

No último ano, mais de 100 usuários em dezenas de organizações foram alvos dessas mensagens de phishing. O payload final garante uma coleta completa de dados, exfiltrando não apenas documentos pessoais e corporativos, mas também:

  • Um inventário completo do software instalado
  • Informações sobre drivers de dispositivo
  • Detalhes dos componentes do sistema operacional

Conclusão: Uma ameaça de espionagem coordenada e em evolução

A campanha de spyware Batavia reflete uma ameaça coordenada e persistente à segurança organizacional na Rússia. A cadeia de infecção em vários estágios, aliada à sua capacidade de extrair um amplo espectro de arquivos e informações de sistemas, a torna uma ferramenta de espionagem formidável. As organizações devem permanecer vigilantes e adotar medidas de segurança proativas para se defender contra esses ataques avançados e enganosos.

Tendendo

Golpe de e-mail de pagamentos de compensação da...

Phishing, Sites desonestos, Spam
Em uma era em que as transações digitais e os serviços financeiros online dominam, os usuários devem permanecer vigilantes contra golpes cibernéticos cada vez mais sofisticados. Um esquema alarmante identificado por analistas de segurança cibernética é o Golpe de Pagamentos de Compensação Blockchain.com. Disfarçado com design profissional e narrativas convincentes, esse golpe manipula as...

Mais visto

Carregando...