С июля 2024 года в России продолжается масштабная целевая кампания с использованием ранее неизвестного шпионского ПО Batavia. По данным "Лаборатории Касперского", атаки направлены на промышленные и научные организации. Рассылка вредоносных писем с темой подписания договоров привела к заражению как минимум сотни устройств в десятках компаний.
Первый этап заражения начинается с письма, в котором содержится ссылка на якобы служебный документ. Перейдя по ней, пользователь скачивает архив с VBS-скриптом, замаскированным под файл договора, пишет Securitylab. Скрипт, зашифрованный проприетарным алгоритмом Microsoft, служит загрузчиком и запрашивает с сервера 12 параметров для последующего выполнения. В зависимости от версии Windows используется либо метод Run(), либо обходной метод Navigate() для запуска вредоносного компонента WebView.exe.
Второй этап реализует полноценную функциональность трояна. WebView.exe — исполняемый файл на Delphi, который отображает поддельный договор, собирает системные журналы и документы, делает скриншоты и отправляет всё это на другой командный сервер. Чтобы не передавать одни и те же файлы повторно, шпион вычисляет FNV-1a_32-хэши первых 40 000 байт каждого документа и сверяет их с сохранённым списком.
Дополнительно WebView.exe загружает новый модуль javav.exe и помещает его в автозагрузку. Этот компонент на C++ расширяет набор целей, включая изображения, презентации, электронные письма и архивы. Он отправляет данные на тот же сервер, но уже с изменённым идентификатором, указывающим на этап заражения.
Расследование показало, что рассылка всё ещё продолжается. Тематика писем практически не изменилась с начала кампании, а аргументы в ссылках уникальны для каждого адресата, что усложняет отслеживание масштабов атаки.
По данным «Лаборатории Касперского», вредоносные письма получили свыше 100 сотрудников из разных российских компаний. Основной целью кампании является кража внутренних документов и мониторинг активности пользователей.