По данным «Лаборатории Касперского», в России продолжается масштабная целевая кампания с использованием ранее неизвестного шпионского ПО Batavia. Рассылка вредоносных писем с темой подписания договоров привела к заражению как минимум сотни устройств в десятках компаний.
Основной целью этих атак является заражение организаций (прежде всего промышленных и научных) с последующей кражей их внутренних документов. Так, электронные письма с вредоносом получили сотрудники судостроительных, авиационных, нефтегазовых предприятий, а также конструкторских бюро.
Впервые Batavia был обнаружен весной 2025 года. По словам исследователей, это специально разработанный для шпионажа троян, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенностью является узкий фокус на краже документов.
Batavia собирает на зараженных машинах разные файлы, найденные как на самих компьютерах, так и съемных носителях. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации.
При этом он способен выполнять и другие вредоносные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.
Атаки хакеров обычно начинаются с рассылки вредоносных писем под предлогом подписания некоего договора. Адресата просят скачать документ, находящийся во вложении.
Однако на самом деле прикрепленный файл (договор-2025-5.vbe, приложение.vbe, dogovor.vbe) является вредоносной ссылкой. Например, https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]. Кликнув по ней для загрузки якобы служебного документа, пользователь запустит трехэтапное заражение компьютера троянцем Batavia.
Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки вредонос начнет собирать информацию, а после отправит свою «добычу» злоумышленникам.
«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погруженный в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — комментирует Артем Ушков, исследователь угроз в „Лаборатории Касперского“. — Наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».
Специалисты подчеркивают необходимость регулярного обучения сотрудников для повышения устойчивости к фишингу. Помимо этого, рекомендуется использовать решения с функциями анализа угроз и автоматическим реагированием. Batavia стал очередным примером того, как простая фишинговая рассылка может запустить многоступенчатую атаку с глубокой интеграцией в корпоративную инфраструктуру.
С заботой о вашей безопасности, команда Origin Security
