Batavia Spyware

జూలై 2024 నుండి రష్యన్ సంస్థలను లక్ష్యంగా చేసుకుని ఒక అధునాతన సైబర్-గూఢచర్య ప్రచారం చురుకుగా సాగుతోంది. ఈ ఆపరేషన్ యొక్క ప్రధాన లక్ష్యం బటావియా అనే పేరుగల గతంలో నమోదుకాని స్పైవేర్, ఇది చట్టబద్ధమైన కాంట్రాక్ట్ ఆఫర్‌లుగా కనిపించేలా రూపొందించబడిన మోసపూరిత ఇమెయిల్‌ల ద్వారా అమలు చేయబడుతుంది.

ఇన్ఫెక్షన్ గొలుసు: ఇమెయిల్ నుండి గూఢచర్యం వరకు

దాడి చేసేవారి నియంత్రణలో ఉన్న oblast-ru.com డొమైన్ నుండి పంపబడే జాగ్రత్తగా రూపొందించబడిన ఫిషింగ్ ఇమెయిల్‌లతో దాడి ప్రారంభమవుతుంది. ఈ సందేశాలు నకిలీ కాంట్రాక్ట్ సంతకం అభ్యర్థనతో గ్రహీతలను ఆకర్షిస్తాయి మరియు హానికరమైన లింక్‌ను కలిగి ఉంటాయి. లింక్‌పై క్లిక్ చేయడం వలన విజువల్ బేసిక్ ఎన్‌కోడెడ్ స్క్రిప్ట్ (.VBE ఫైల్) ఉన్న ఆర్కైవ్ ఫైల్ డౌన్‌లోడ్ ప్రారంభమవుతుంది.

అమలు చేసిన తర్వాత, స్క్రిప్ట్ హోస్ట్ సిస్టమ్ గురించి వివరణాత్మక సమాచారాన్ని సేకరించి రిమోట్ సర్వర్‌కు ప్రసారం చేయడం ద్వారా నిఘా నిర్వహిస్తుంది. ఇది డెల్ఫీలో వ్రాయబడిన ఎక్జిక్యూటబుల్ అయిన సెకండరీ పేలోడ్ డౌన్‌లోడ్‌ను ప్రేరేపిస్తుంది.

డెల్ఫీ మాల్వేర్: పరధ్యానం మరియు డేటా దొంగతనం

డెల్ఫీ ఆధారిత మాల్వేర్ బాధితుడిని నిమగ్నం చేయడానికి నకిలీ ఒప్పందాన్ని అందించే అవకాశం ఉంది. అదే సమయంలో, ఇది వివేకంతో వివిధ సున్నితమైన సమాచారాన్ని సేకరిస్తుంది, వీటిలో:

• సిస్టమ్ లాగ్‌లు మరియు ఇన్‌స్టాల్ చేయబడిన సాఫ్ట్‌వేర్ సమాచారం
• Microsoft Office మరియు ఇతర డాక్యుమెంట్ రకాలు (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
• హోస్ట్‌కు కనెక్ట్ చేయబడిన ఏవైనా తొలగించగల పరికరాల నుండి స్క్రీన్‌షాట్‌లు మరియు డేటా

ఈ మాల్వేర్ యొక్క కార్యాచరణ అక్కడితో ముగియదు. ఇది దాని కమాండ్-అండ్-కంట్రోల్ సర్వర్ నుండి అదనపు బైనరీని కూడా డౌన్‌లోడ్ చేస్తుంది. ఈ ఫైల్ ఎక్స్‌ఫిల్ట్రేషన్ కోసం మరింత విస్తృత శ్రేణి ఫైల్ రకాలను సేకరించడానికి రూపొందించబడింది.

విస్తరించిన ఫైల్ సేకరణ సామర్థ్యాలు

రెండవ దశ బైనరీ దొంగిలించబడిన డేటా పరిధిని గణనీయంగా విస్తరిస్తుంది:

• చిత్రాలు మరియు గ్రాఫికల్ ఫైల్స్: *.jpeg, *.jpg, *.cdr
• ఇమెయిల్‌లు మరియు టెక్స్ట్ ఆధారిత కంటెంట్: *.eml, *.csv, *.txt, *.rtf
• ప్రెజెంటేషన్లు మరియు ఆర్కైవ్‌లు: *.ppt, *.pptx, *.odp, *.rar, *.zip

సేకరించిన సమాచారం అంతా వేరే డొమైన్, ru-exchange.com కు బదిలీ చేయబడుతుంది, ఇది నాల్గవ దశ ఎక్జిక్యూటబుల్ కోసం డెలివరీ పాయింట్‌గా కూడా పనిచేస్తుంది. ఈ తెలియని భాగం మరింత హానికరమైన చర్యలతో దాడి గొలుసును కొనసాగిస్తుంది.

విస్తృత ప్రభావం మరియు సేకరించిన డేటా

గత సంవత్సరంలో, అనేక డజన్ల సంస్థల్లో 100 కంటే ఎక్కువ మంది వినియోగదారులు ఈ ఫిషింగ్ సందేశాలతో లక్ష్యంగా చేసుకున్నారు. తుది పేలోడ్ సమగ్ర డేటా సేకరణను నిర్ధారిస్తుంది, వ్యక్తిగత మరియు కార్పొరేట్ పత్రాలను మాత్రమే కాకుండా:

• ఇన్‌స్టాల్ చేయబడిన సాఫ్ట్‌వేర్ యొక్క పూర్తి జాబితా
• పరికర డ్రైవర్ల గురించి సమాచారం
• ఆపరేటింగ్ సిస్టమ్ భాగం వివరాలు

ముగింపు: సమన్వయంతో కూడిన మరియు అభివృద్ధి చెందుతున్న గూఢచర్య ముప్పు

బటావియా స్పైవేర్ ప్రచారం రష్యాలో సంస్థాగత భద్రతకు సమన్వయంతో కూడిన మరియు నిరంతర ముప్పును ప్రతిబింబిస్తుంది. బహుళ-దశల ఇన్ఫెక్షన్ గొలుసు, విస్తృత శ్రేణి ఫైల్‌లను మరియు సిస్టమ్ ఇంటెలిజెన్స్‌ను సంగ్రహించే దాని సామర్థ్యంతో కలిపి, దీనిని ఒక బలీయమైన గూఢచర్య సాధనంగా గుర్తించింది. సంస్థలు అప్రమత్తంగా ఉండాలి మరియు అటువంటి అధునాతన, మోసపూరిత దాడుల నుండి రక్షించడానికి చురుకైన భద్రతా చర్యలను అనుసరించాలి.