Новая шпионская программа Batavia охотится за документами российской промышленности

Исследователи «Лаборатории Касперского» обнаружили, что с июля 2024 г. неустановленная группа злоумышленников...

Исследователи «Лаборатории Касперского» обнаружили, что с июля 2024 г. неустановленная группа злоумышленников рассылает российским предприятиям вредоносные электронные письма с ранее неизвестной шпионской программой — троянцем Batavia.

Основная цель кибератаки — заражение организаций, прежде всего промышленных и научных, с последующей кражей их внутренних документов. По данным телеметрии «Лаборатории Касперского», электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.

Что известно о Batavia. Эксперты «Лаборатории Касперского» впервые обнаружили вредонос Batavia весной 2025 г. Это специально разработанный для шпионажа троянец, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенность — узкий фокус на краже документов. Batavia собирает разные файлы, найденные на компьютере и съёмных носителях жертвы. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации. При этом троянец способен выполнять и другие нелегитимные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.

Как происходит кибератака. В обнаруженной кампании злоумышленники, как правило, начинают действовать по классической схеме — с рассылки вредоносных электронных писем под предлогом подписания некоего договора. Адресата просят скачать документ, находящийся во вложении, — однако на самом деле прикреплённый файл является вредоносной ссылкой. Щёлкнув по ней для загрузки якобы служебного документа, ничего не подозревающий пользователь запустит трёхэтапное заражение компьютера троянцем Batavia. Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки зловред начнёт собирать информацию с заражённого компьютера и далее отправит «добычу» злоумышленникам.

«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погружённый в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — сказал Артём Ушков, исследователь угроз в „Лаборатории Касперского“. — В марте 2025 г. наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».

Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen.

Для защиты от подобных киберугроз эксперты «Лаборатории Касперского» рекомендуют организациям: регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть; использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами; применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности; обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например, на платформе Kaspersky Automated Security Awareness Platform; предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений Threat Intelligence.

Адрес новости:
https://safe.cnews.ru/news/line/2025-07-07_novaya_shpionskaya_programma