Новая шпионская программа Batavia охотится за документами российской промышленности

Исследователи «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная группа злоумышленников рассылает российским предприятиям вредоносные электронные письма с ранее неизвестной шпионской программой — троянцем Batavia. Об этой угрозе специалисты рассказали в рамках международной выставки «Иннопром-2025», которая проходит с 7 по 10 июля в Екатеринбурге.

Основная цель кибератаки — заражение организаций, прежде всего промышленных и научных, с последующей кражей их внутренних документов. По данным телеметрии «Лаборатории Касперского», электронные письма с вредоносом получили сотрудники из нескольких десятков компаний по всей стране, в том числе судостроительные, авиационные, нефтегазовые предприятия, а также конструкторские бюро.

Что известно о Batavia. Эксперты «Лаборатории Касперского» впервые обнаружили вредонос Batavia весной 2025 года. Это специально разработанный для шпионажа троянец, состоящий из VBA-скрипта и двух исполняемых файлов. Его особенность — узкий фокус на краже документов. Batavia собирает разные файлы, найденные на компьютере и съёмных носителях жертвы. Среди них — системные журналы, список установленных программ, драйверов и компонентов операционной системы, электронные письма, а также всевозможные офисные документы в различных форматах, включая таблицы и презентации. При этом троянец способен выполнять и другие нелегитимные действия, включая установку дополнительного вредоносного ПО и создание снимков экрана.

Как происходит кибератака. В обнаруженной кампании злоумышленники, как правило, начинают действовать по классической схеме — с рассылки вредоносных электронных писем под предлогом подписания некоего договора. Адресата просят скачать документ, находящийся во вложении, — однако на самом деле прикреплённый файл является вредоносной ссылкой. Щёлкнув по ней для загрузки якобы служебного документа, ничего не подозревающий пользователь запустит трёхэтапное заражение компьютера троянцем Batavia. Одновременно с этим для отвлечения внимания на устройстве жертвы откроется отдельное окно, которое, предположительно, содержит поддельный договор. После установки зловред начнёт собирать информацию с заражённого компьютера и далее отправит «добычу» злоумышленникам.

«Вложения в электронных письмах далеко не всегда безобидны: злоумышленники часто используют почтовые сервисы для распространения вредоносного ПО, которое тщательно маскируют под привычные корпоративные документы. Опасность заключается в том, что сотрудник, зачастую погружённый в рабочие задачи, не всегда может сразу заметить обман — особенно учитывая, что атакующие постоянно меняют свои методы и пробуют новые подходы, — комментирует Артём Ушков, исследователь угроз в „Лаборатории Касперского“. — В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами „договор-2025-5“, „приложение“, „dogovor“ на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них „прячется“ ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов. Мы продолжаем изучать эту кампанию».

Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen.
Для защиты от подобных киберугроз эксперты «Лаборатории Касперского» рекомендуют организациям:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами;
- применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформе Kaspersky Automated Security Awareness Platform;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений Threat Intelligence.