Organizações russas foram alvo de uma campanha contínua que entrega um spyware para Windows previamente não documentado, chamado Batavia.
A atividade, segundo a empresa de cibersegurança Kaspersky, está ativa desde julho de 2024.
"O ataque direcionado começa com e-mails isca contendo links maliciosos, enviados sob o pretexto de assinatura de um contrato", disse a companhia russa.
O principal objetivo do ataque é infectar organizações com o spyware Batavia anteriormente desconhecido, que então prossegue para roubar documentos internos.
As mensagens de e-mail são enviadas do domínio "oblast-ru[.]com", que se diz ser de propriedade dos próprios atacantes.
Os links incorporados nas missivas digitais levam ao download de um arquivo de arquivo contendo um arquivo de script codificado em Visual Basic (.VBE).
Quando executado, o script perfila o host comprometido e exfiltra a informação do sistema para o servidor remoto.
Isso é seguido pelo recebimento de um payload de próxima etapa do mesmo servidor, um executável escrito em Delphi.
É provável que o malware exiba um contrato falso para a vítima como distração enquanto coleta logs do sistema, documentos do Office (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, e *.xlsx), e capturas de tela em segundo plano.
A coleta de dados também se estende a dispositivos removíveis conectados ao host.
Outra capacidade do malware Delphi é baixar um binário próprio do servidor, que visa um conjunto mais amplo de extensões de arquivo para coleta subsequente.
Isso inclui imagens, emails, apresentações do Microsoft PowerPoint, arquivos de arquivo e documentos de texto (*.jpeg, *.jpg, *.cdr, *.csv, *.eml, *.ppt, *.pptx, *.odp, *.rar, *.zip, *.rtf, e *.txt).
Os dados recém-coletados são então transmitidos para um domínio diferente ("ru-exchange[.]com"), de onde um executável desconhecido é baixado como um quarto estágio para continuar a cadeia de ataque ainda mais.
Dados de telemetria da Kaspersky mostram que mais de 100 usuários em várias dezenas de organizações receberam e-mails de phishing ao longo do último ano.
"Como resultado do ataque, o Batavia exfiltra os documentos da vítima, bem como informações como uma lista de programas instalados, drivers e componentes do sistema operacional", disse a empresa.
A divulgação ocorre enquanto o Fortinet FortiGuard Labs detalhou uma campanha maliciosa que entrega um malware stealer para Windows codinomeado NordDragonScan.
Embora o vetor de acesso inicial exato não esteja claro, acredita-se que seja um e-mail de phishing que propaga um link para acionar o download de um arquivo RAR.
"Uma vez instalado, o NordDragonScan examina o host e copia documentos, colhe perfis completos do Chrome e do Firefox, e tira capturas de tela", disse a pesquisadora de segurança Cara Lin.
Presente no arquivo está um atalho do Windows (LNK) que faz uso furtivo de "mshta.exe" para executar uma Aplicação HTML (HTA) hospedada remotamente.
Esta etapa resulta na recuperação de um documento isca benigno, enquanto um payload .NET nefasto é silenciosamente solto no sistema.
NordDragonScan, como é chamado o malware stealer, estabelece conexões com um servidor remoto ("kpuszkiev[.]com"), configura persistência por meio de alterações no Registro do Windows e conduz um reconhecimento extenso da máquina comprometida para coletar dados sensíveis e exfiltrar as informações de volta para o servidor via uma solicitação POST HTTP.
"O arquivo RAR contém chamadas LNK que invocam mshta.exe para executar um script HTA malicioso, exibindo um documento isca em ucraniano", disse Lin.
"Finalmente, instala silenciosamente seu payload em segundo plano.
O NordDragonScan é capaz de escanear o host, capturar uma captura de tela, extrair documentos e PDFs, e farejar perfis do Chrome e Firefox."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...