Об этой угрозе специалисты рассказали в рамках международной выставки «Иннопром-2025»
Исследователи «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная группа злоумышленников рассылает российским предприятиям вредоносные электронные письма с ранее неизвестной шпионской программой — троянцем Batavia. Об этой угрозе специалисты рассказали в рамках международной выставки «Иннопром-2025», которая проходит с 7 по 10 июля в Екатеринбурге.
Основная цель кибератаки — заражение организаций, прежде всего промышленных и научных, с последующей кражей их внутренних документов. По данным телеметрии «Лаборатории Касперского», электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.
Что известно о Batavia. Эксперты «Лаборатории Касперского» впервые обнаружили вредонос Batavia весной 2025 года. Это специально разработанный для шпионажа троянец, состоящий из VBE-скрипта и двух исполняемых файлов. Его особенность — узкий фокус на краже документов. Batavia собирает разные файлы, найденные на компьютере и съёмных носителях жертвы. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации. При этом троянец способен выполнять и другие нелегитимные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.
Как происходит кибератака. В обнаруженной кампании злоумышленники, как правило, начинают действовать по классической схеме — с рассылки вредоносных электронных писем под предлогом подписания некоего договора. Адресата просят скачать документ по ссылке, которая на самом деле является вредоносной. Щёлкнув по ней для загрузки якобы служебного документа, ничего не подозревающий пользователь запустит трёхэтапное заражение компьютера троянцем Batavia. Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки зловред начнёт собирать информацию с заражённого компьютера и далее отправит «добычу» злоумышленникам.
«Злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погружённый в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — комментирует Артём Ушков, исследователь угроз в „Лаборатории Касперского“. — В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».
Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen.
Подробнее — в статье на Securelist: https://securelist.ru/batavia-spyware-steals-data-from-russian-organizations/112974/.
Для защиты от подобных киберугроз эксперты «Лаборатории Касперского» рекомендуют организациям:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами;
- применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформе Kaspersky Automated Security Awareness Platform;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений Threat Intelligence.
