Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel espion Batavia

Logiciel espion Batavia

Par Mezo en Logiciels malveillants, Logiciel espion
Se traduisent par :

Une campagne sophistiquée de cyberespionnage cible activement les organisations russes depuis juillet 2024. Au cœur de l'opération se trouve un logiciel espion jusqu'alors non documenté nommé Batavia, qui est déployé via des e-mails trompeurs conçus pour apparaître comme des offres de contrat légitimes.

La chaîne d’infection : du courrier électronique à l’espionnage

L'attaque commence par des e-mails d'hameçonnage soigneusement conçus, envoyés depuis le domaine oblast-ru.com, contrôlé par l'attaquant. Ces messages incitent les destinataires à signer un faux contrat et incluent un lien malveillant. Cliquer sur ce lien déclenche le téléchargement d'une archive contenant un script codé en Visual Basic (fichier .VBE).

Une fois exécuté, le script effectue une reconnaissance en collectant des informations détaillées sur le système hôte et en les transmettant à un serveur distant. Cela déclenche le téléchargement d'une charge utile secondaire, un exécutable écrit en Delphi.

Delphi Malware : distraction et vol de données

Le logiciel malveillant basé sur Delphi présente probablement un faux contrat pour fidéliser la victime. Parallèlement, il collecte discrètement diverses informations sensibles, notamment :

  • Journaux système et informations sur les logiciels installés
  • Microsoft Office et autres types de documents (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Captures d'écran et données de tous les périphériques amovibles connectés à l'hôte

Les fonctionnalités du malware ne s'arrêtent pas là. Il télécharge également un binaire supplémentaire depuis son serveur de commande et de contrôle. Ce fichier est conçu pour collecter un éventail encore plus large de types de fichiers à des fins d'exfiltration.

Capacités de collecte de fichiers étendues

Le binaire de deuxième étape élargit considérablement la portée des données volées pour inclure :

  • Images et fichiers graphiques : *.jpeg, *.jpg, *.cdr
  • E-mails et contenu textuel : *.eml, *.csv, *.txt, *.rtf
  • Présentations et archives : *.ppt, *.pptx, *.odp, *.rar, *.zip

Toutes les informations collectées sont exfiltrées vers un autre domaine, ru-exchange.com, qui sert également de point de livraison à un exécutable de quatrième étape. Ce composant inconnu poursuit probablement la chaîne d'attaque avec d'autres actions malveillantes.

Impact généralisé et données collectées

Au cours de l'année écoulée, plus de 100 utilisateurs de plusieurs dizaines d'organisations ont été ciblés par ces messages d'hameçonnage. La charge utile finale assure une collecte de données approfondie, exfiltrant non seulement des documents personnels et professionnels, mais aussi :

  • Un inventaire complet des logiciels installés
  • Informations sur les pilotes de périphériques
  • Détails des composants du système d'exploitation

Conclusion : une menace d’espionnage coordonnée et évolutive

La campagne de logiciels espions Batavia témoigne d'une menace coordonnée et persistante pour la sécurité des organisations en Russie. Sa chaîne d'infection en plusieurs étapes, associée à sa capacité à extraire un large éventail de fichiers et de renseignements sur les systèmes, en fait un outil d'espionnage redoutable. Les organisations doivent rester vigilantes et adopter des mesures de sécurité proactives pour se défendre contre ces attaques sophistiquées et trompeuses.

Tendance

Arnaque par e-mail aux paiements de compensation de...

Hameçonnage, Sites Web malveillants, Courrier indésirable
À l'ère des transactions numériques et des services financiers en ligne, les utilisateurs doivent rester vigilants face aux cyberescroqueries de plus en plus sophistiquées. L'arnaque aux paiements compensatoires de Blockchain.com, identifiée par les analystes en cybersécurité, est un stratagème alarmant. Sous couvert d'un design professionnel et d'un récit convaincant, cette arnaque manipule...

Le plus regardé

Chargement...