Основная цель кибератаки — заражение организаций, прежде всего промышленных и научных, с последующей кражей их внутренних документов.
По данным телеметрии «Лаборатории Касперского», электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.
Эксперты «Лаборатории Касперского» впервые обнаружили вредонос Batavia весной 2025 года. Это специально разработанный для шпионажа троянец, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенность — узкий фокус на краже документов. Batavia собирает разные файлы, найденные на компьютере и съёмных носителях жертвы.
Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации. При этом троянец способен выполнять и другие нелегитимные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.
Щёлкнув по ней для загрузки якобы служебного документа, ничего не подозревающий пользователь запустит трёхэтапное заражение компьютера троянцем Batavia. Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки зловред начнёт собирать информацию с заражённого компьютера и далее отправит «добычу» злоумышленникам.
«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погружённый в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы“.
— В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».
Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen.
Для защиты от подобных киберугроз эксперты «Лаборатории Касперского» рекомендуют организациям:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами;
- применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников.
