<div id="post_message_801883">

Эксперты «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная хак-группа рассылает российским предприятиям вредоносные письма с ранее неизвестной шпионской программой — <a href="https://securelist.ru/batavia-spyware-steals-data-from-russian-organizations/112974/" target="_blank">трояном Batavia.</a><br/>
<br/>
Основной целью этих атак является заражение организаций (прежде всего промышленных и научных) с последующей кражей их внутренних документов. Так, электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.<br/>
<br/>
Впервые Batavia был обнаружен весной 2025 года. По словам исследователей, это специально разработанный для шпионажа троян, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенностью является узкий фокус на краже документов.<br/>
<br/>
Batavia собирает на зараженных машинах разные файлы, найденные как на самих компьютерах, так и съемных носителях. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации.<br/>
<br/>
При этом малварь способна выполнять и другие вредоносные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.<br/>
<br/>
Атаки хакеров обычно начинаются с рассылки вредоносных писем под предлогом подписания некоего договора. Адресата просят скачать документ, находящийся во вложении.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/534663/batavia-spyware1.jpg"/><br/>
<br/>
Однако на самом деле прикрепленный файл (договор-2025-5.vbe, приложение.vbe, dogovor.vbe) является вредоносной ссылкой. Например, <a href="https://oblast-ru" target="_blank">https://oblast-ru</a>[.]com/oblast_download/?file=hc1-[redacted]. Кликнув по ней для загрузки якобы служебного документа, пользователь запустит трехэтапное заражение компьютера троянцем Batavia.<br/>
<br/>
Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки малварь начнет собирать информацию, а после отправит свою «добычу» злоумышленникам.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погруженный в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — комментирует Артем Ушков, исследователь угроз в „Лаборатории Касперского“. — В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/07/08/batavia/" target="_blank">@ xakep.ru</a>
</div>