Эксперты «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная хак-группа рассылает российским предприятиям вредоносные письма с ранее неизвестной шпионской программой — трояном Batavia.
Основной целью этих атак является заражение организаций (прежде всего промышленных и научных) с последующей кражей их внутренних документов. Так, электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.
Впервые Batavia был обнаружен весной 2025 года. По словам исследователей, это специально разработанный для шпионажа троян, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенностью является узкий фокус на краже документов.
Batavia собирает на зараженных машинах разные файлы, найденные как на самих компьютерах, так и съемных носителях. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации.
При этом малварь способна выполнять и другие вредоносные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.
Атаки хакеров обычно начинаются с рассылки вредоносных писем под предлогом подписания некоего договора. Адресата просят скачать документ, находящийся во вложении.
Однако на самом деле прикрепленный файл (договор-2025-5.vbe, приложение.vbe, dogovor.vbe) является вредоносной ссылкой. Например, https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]. Кликнув по ней для загрузки якобы служебного документа, пользователь запустит трехэтапное заражение компьютера троянцем Batavia.
Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки малварь начнет собирать информацию, а после отправит свою «добычу» злоумышленникам.
«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погруженный в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — комментирует Артем Ушков, исследователь угроз в „Лаборатории Касперского“. — В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».
