Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Software espía Batavia

Software espía Batavia

Por Mezo en Software malicioso, Software espía
Traducir a:

Una sofisticada campaña de ciberespionaje ha estado atacando activamente a organizaciones rusas desde julio de 2024. En el centro de la operación se encuentra un programa espía previamente indocumentado llamado Batavia, que se distribuye a través de correos electrónicos engañosos diseñados para aparentar ser ofertas contractuales legítimas.

La cadena de infección: del correo electrónico al espionaje

El ataque comienza con correos electrónicos de phishing cuidadosamente diseñados, enviados desde el dominio oblast-ru.com, controlado por el atacante. Estos mensajes atraen a los destinatarios con una solicitud falsa para firmar un contrato e incluyen un enlace malicioso. Al hacer clic en el enlace, se inicia la descarga de un archivo que contiene un script codificado de Visual Basic (archivo .VBE).

Una vez ejecutado, el script realiza un reconocimiento recopilando información detallada sobre el sistema host y transmitiéndola a un servidor remoto. Esto activa la descarga de una carga útil secundaria, un ejecutable escrito en Delphi.

Malware Delphi: distracción y robo de datos

El malware basado en Delphi probablemente presenta un contrato falso para mantener a la víctima ocupada. Mientras tanto, recopila discretamente información confidencial, como:

  • Registros del sistema e información del software instalado
  • Microsoft Office y otros tipos de documentos (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Capturas de pantalla y datos de cualquier dispositivo extraíble conectado al host

La funcionalidad del malware no termina ahí. También descarga un binario adicional de su servidor de Comando y Control. Este archivo está diseñado para recopilar una gama aún más amplia de tipos de archivos para su exfiltración.

Capacidades ampliadas de recopilación de archivos

El binario de segunda etapa amplía significativamente el alcance de los datos robados para incluir:

  • Imágenes y archivos gráficos: *.jpeg, *.jpg, *.cdr
  • Correos electrónicos y contenido basado en texto: *.eml, *.csv, *.txt, *.rtf
  • Presentaciones y archivos: *.ppt, *.pptx, *.odp, *.rar, *.zip

Toda la información recopilada se exfiltra a un dominio diferente, ru-exchange.com, que también sirve como punto de entrega para un ejecutable de cuarta etapa. Es probable que este componente desconocido continúe la cadena de ataque con otras acciones maliciosas.

Impacto generalizado y datos recopilados

Durante el último año, más de 100 usuarios de varias docenas de organizaciones fueron blanco de estos mensajes de phishing. La carga útil final garantiza una recolección exhaustiva de datos, exfiltrando no solo documentos personales y corporativos, sino también:

  • Un inventario completo del software instalado
  • Información sobre los controladores de dispositivos
  • Detalles de los componentes del sistema operativo

Conclusión: Una amenaza de espionaje coordinada y en evolución

La campaña de spyware Batavia refleja una amenaza coordinada y persistente a la seguridad organizacional en Rusia. La cadena de infección multietapa, sumada a su capacidad para extraer una amplia gama de archivos e inteligencia del sistema, la convierte en una formidable herramienta de espionaje. Las organizaciones deben mantenerse alerta y adoptar medidas de seguridad proactivas para defenderse de estos ataques avanzados y engañosos.

Tendencias

Estafas de pagos de compensación por correo...

Suplantación de identidad (phishing), Sitios web fraudulentos, Correo basura
En una era donde las transacciones digitales y los servicios financieros en línea dominan, los usuarios deben mantenerse alerta ante las ciberestafas cada vez más sofisticadas. Un esquema alarmante identificado por analistas de ciberseguridad es la estafa de pagos de compensación de Blockchain.com. Disimulada con un diseño profesional y narrativas convincentes, esta estafa manipula a las...

Mas Visto

Cargando...