Uma campanha de spyware previamente desconhecido, batizado de ‘Batavia’, tem estado a visar grandes empresas industriais na Rússia. A operação utiliza emails de phishing que se fazem passar por contratos para enganar as vítimas e instalar o malware.
Segundo os investigadores de cibersegurança da Kaspersky, que detalham a ameaça num novo relatório, a operação está ativa desde, pelo menos, julho do ano passado e continua a decorrer. Com base nos dados recolhidos, os emails de phishing que distribuem o Batavia chegaram a funcionários de várias dezenas de organizações russas.
A campanha aumentou de intensidade desde janeiro de 2025, atingindo o seu pico de atividade no final do mês de fevereiro.
Como funciona o ataque do spyware Batavia
O ataque começa com um email que contém uma ligação disfarçada de um anexo de contrato. Ao clicar, a vítima descarrega um ficheiro de arquivo que esconde um script malicioso codificado em Visual Basic (.VBE).
Quando executado, este script inicial analisa o sistema do anfitrião e envia os detalhes para o servidor de comando e controlo (C2) do atacante. De seguida, descarrega a fase seguinte do ataque, o ficheiro WebView.exe.
Roubo de dados em múltiplas fases
A segunda fase do ataque consiste num malware desenvolvido em Delphi que, para distrair a vítima, exibe um falso contrato no ecrã. Em segundo plano, o WebView.exe dedica-se a recolher logs do sistema, documentos variados e a realizar capturas de ecrã.
Os dados recolhidos são depois enviados para um segundo domínio. Para evitar o envio duplicado de informação, o malware calcula um hash dos primeiros 40.000 bytes de cada ficheiro.
Posteriormente, o sistema descarrega a terceira fase do payload, o ‘javav.exe’. Este é um ladrão de dados desenvolvido em C++ que expande ainda mais a recolha de informação, visando tipos de ficheiros adicionais como:
Imagens
Apresentações
Emails
Ficheiros comprimidos
Folhas de cálculo
Ficheiros de texto (TXT e RTF)
Para garantir a sua persistência no sistema infetado, este último executável adiciona um atalho de arranque para ser executado sempre que o sistema operativo é iniciado. A Kaspersky refere ainda que existe provavelmente uma quarta fase do ataque, através de um ficheiro chamado ‘windowsmsg.exe’, mas os investigadores não conseguiram obter este payload para análise.
Embora os especialistas não tenham especulado sobre os autores da campanha, os alvos escolhidos, combinados com as capacidades do Batavia, sugerem fortemente que se trata de uma operação de espionagem focada na atividade industrial da Rússia.
Nenhum comentário
Seja o primeiro!