Российские предприятия под угрозой: новый шпион Batavia крадет конфиденциальные данные

Аналитики обнаружили, что вредоносная программа состоит из нескольких компонентов: VBA-скрипта и двух исполняемых файлов, которые работают последовательно, обеспечивая глубокое проникновение в систему. Решения «Лаборатории Касперского» идентифицируют эти угрозы как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen. Атака начинается с рассылки писем, маскирующихся под деловую переписку. Например, сотрудникам отправляют сообщения с просьбой скачать «договор» по ссылке, которая на самом деле ведет на вредоносный сервер.

Первый этап - запуск VBS-скрипта. Пользователь получает письмо с вложением, которое выглядит как документ, но при открытии загружает зашифрованный VBE-файл. Этот скрипт обращается к командному серверу злоумышленников и получает инструкции для дальнейших действий. В частности, он определяет версию операционной системы и загружает второй этап вредоносной программы - файл WebView.exe, написанный на Delphi.

На втором этапе зловред начинает сбор данных. Он ищет офисные документы (Word, Excel, PDF), системные журналы и даже делает скриншоты экрана. Все собранные файлы отправляются на сервер злоумышленников. Чтобы избежать дублирования, вредонос использует хеш-суммы, сохраняя их в специальном файле. После этого Batavia загружает третий компонент - javav.exe, который расширяет функционал шпиона, добавляя сбор изображений, архивов и электронных писем.

Третий этап - наиболее опасный. Помимо кражи документов, зловред получает команды с сервера и может загружать дополнительные модули. Один из них, windowsmsg.exe, запускается с помощью техники обхода контроля учетных записей (UAC), что позволяет ему действовать с повышенными привилегиями. Это дает злоумышленникам почти полный контроль над зараженной системой.

Основной мишенью Batavia стали промышленные предприятия в России. По данным «Лаборатории Касперского», атаке подверглись сотрудники более чем 100 организаций. Учитывая характер украденных данных (договоры, финансовые отчеты), можно предположить, что злоумышленники стремятся получить доступ к коммерческой тайне или использовать информацию для шантажа.

Эксперты рекомендуют сотрудникам компаний соблюдать осторожность при работе с вложениями и ссылками в письмах, особенно если отправитель неизвестен или тема сообщения вызывает подозрения. Ключевые меры защиты включают:

• Использование антивирусных решений с функцией поведенческого анализа.
• Ограничение прав пользователей для предотвращения запуска подозрительных скриптов.
• Регулярное обучение персонала основам кибербезопасности.
• Мониторинг сетевой активности на предмет подозрительных соединений.

Batavia - это не просто очередной троян, а сложный инструмент для целевого шпионажа. Его появление свидетельствует о том, что киберпреступники продолжают совершенствовать методы атак на корпоративный сектор. Без своевременного реагирования и комплексной защиты компании рискуют потерять критически важные данные.

Шпионская программа Batavia представляет серьезную угрозу для российского бизнеса. Ее многоэтапный механизм заражения и возможность загрузки дополнительных модулей делают атаку особенно опасной. Организациям необходимо усилить меры безопасности, чтобы избежать утечки конфиденциальной информации. «Лаборатория Касперского» продолжает отслеживать активность Batavia и рекомендует пользователям оставаться бдительными.

Domains

• oblast-ru.com
• ru-exchange.com

MD5

• 03b728a6f6aab25a65f189857580e0bd
• 2963fb4980127adb7e045a0f743ead05
• 5cfa142d1b912f31c9f761ddefb3c288

SHA1

• 69193f9b8a8b1674227774d22e47d0579df87733
• 82eecb453510e10207342c78a61245e91e91b6cb
• b714cc5251a1d74a39be18b5d687f6273714c25c

SHA256

• 294ef6c3ebbe88ea82e5f35e5a1a5f99c067577905ea7a955f969e9d669e001d
• 628d2b7d9e70dc8c6042671433009bd46ffd96bf55950b5d7b462f4275ce4f88
• fc5b89a0a042291020fc62020e000c4d29b42cf425ba161057b3495d561f5390