Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Шпионское ПО Batavia охотится за документами российских предприятий

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 07-16-2025, 08:58 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Эксперты «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная хак-группа рассылает российским предприятиям вредоносные письма с ранее неизвестной шпионской программой — трояном Batavia.



Основной целью этих атак является заражение организаций (прежде всего промышленных и научных) с последующей кражей их внутренних документов. Так, электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.



Впервые Batavia был обнаружен весной 2025 года. По словам исследователей, это специально разработанный для шпионажа троян, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенностью является узкий фокус на краже документов.



Batavia собирает на зараженных машинах разные файлы, найденные как на самих компьютерах, так и съемных носителях. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации.



При этом малварь способна выполнять и другие вредоносные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.



Атаки хакеров обычно начинаются с рассылки вредоносных писем под предлогом подписания некоего договора. Адресата просят скачать документ, находящийся во вложении.







Однако на самом деле прикрепленный файл (договор-2025-5.vbe, приложение.vbe, dogovor.vbe) является вредоносной ссылкой. Например, https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]. Кликнув по ней для загрузки якобы служебного документа, пользователь запустит трехэтапное заражение компьютера троянцем Batavia.



Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки малварь начнет собирать информацию, а после отправит свою «добычу» злоумышленникам.










«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погруженный в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — комментирует Артем Ушков, исследователь угроз в „Лаборатории Касперского“. — В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».

@ xakep.ru
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:36 AM.

Contact Us - Carder.life - Archive - Top