Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programul spion Batavia

Programul spion Batavia

Până în Mezo în Programe malware, Spyware
Tradu in:

O campanie sofisticată de spionaj cibernetic vizează în mod activ organizațiile rusești din iulie 2024. În centrul operațiunii se află un program spion nedocumentat anterior, numit Batavia, care este implementat prin e-mailuri înșelătoare concepute să pară oferte contractuale legitime.

Lanțul de infecție: de la e-mail la spionaj

Atacul începe cu e-mailuri de phishing atent elaborate, trimise de pe domeniul oblast-ru.com controlat de atacator. Aceste mesaje atrag destinatarii cu o solicitare falsă de semnare a unui contract și includ un link rău intenționat. Dacă faceți clic pe link, se inițiază descărcarea unui fișier arhivă care conține un script codificat în Visual Basic (fișier .VBE).

Odată executat, scriptul efectuează o recunoaștere prin colectarea de informații detaliate despre sistemul gazdă și transmiterea acestora către un server la distanță. Aceasta declanșează descărcarea unei sarcini utile secundare, un executabil scris în Delphi.

Malware Delphi: Distragere și furt de date

Malware-ul bazat pe Delphi prezintă probabil un contract contrafăcut pentru a menține victima implicată. Între timp, colectează discret o varietate de informații sensibile, inclusiv:

  • Jurnalele de sistem și informațiile despre software-ul instalat
  • Microsoft Office și alte tipuri de documente (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Capturi de ecran și date de pe orice dispozitive amovibile conectate la gazdă

Funcționalitatea malware-ului nu se termină aici. De asemenea, acesta descarcă un fișier binar suplimentar de pe serverul său de comandă și control. Acest fișier este conceput pentru a colecta o gamă și mai largă de tipuri de fișiere pentru exfiltrare.

Capacități extinse de colectare a fișierelor

A doua etapă a fișierelor binare extinde semnificativ domeniul de aplicare al datelor furate pentru a include:

  • Imagini și fișiere grafice: *.jpeg, *.jpg, *.cdr
  • E-mailuri și conținut text: *.eml, *.csv, *.txt, *.rtf
  • Prezentări și arhive: *.ppt, *.pptx, *.odp, *.rar, *.zip

Toate informațiile colectate sunt exfiltrate către un alt domeniu, ru-exchange.com, care servește și ca punct de livrare pentru un executabil de a patra etapă. Această componentă necunoscută continuă probabil lanțul de atac cu alte acțiuni rău intenționate.

Impact pe scară largă și date colectate

În ultimul an, peste 100 de utilizatori din zeci de organizații au fost vizați de aceste mesaje de phishing. Sarcina utilă finală asigură colectarea temeinică a datelor, exfiltrând nu doar documente personale și corporative, ci și:

  • Un inventar complet al software-ului instalat
  • Informații despre driverele de dispozitiv
  • Detalii despre componentele sistemului de operare

Concluzie: O amenințare de spionaj coordonată și în continuă evoluție

Campania de spyware Batavia reflectă o amenințare coordonată și persistentă la adresa securității organizaționale din Rusia. Lanțul de infectare în mai multe etape, împreună cu capacitatea sa de a extrage o gamă largă de fișiere și informații de sistem, îl marchează ca un instrument de spionaj formidabil. Organizațiile trebuie să rămână vigilente și să adopte măsuri de securitate proactive pentru a se apăra împotriva unor astfel de atacuri avansate și înșelătoare.

Trending

Escrocherie prin e-mail privind plățile...

phishing, Site-uri web necinstite, Spam
Într-o eră în care tranzacțiile digitale și serviciile financiare online domină, utilizatorii trebuie să rămână vigilenți împotriva escrocheriilor cibernetice din ce în ce mai sofisticate. O schemă alarmantă identificată de analiștii de securitate cibernetică este escrocheria Blockchain.com Compensation Payments Scam. Deghizată sub un design profesional și narațiuni convingătoare, această...

Cele mai văzute

Se încarcă...