Pesquisadores da Kaspersky identificaram uma campanha de ciberespionagem que usa um spyware inédito chamado Batavia, ativo desde julho de 2024 e direcionado a organizações russas. O ataque começa com e-mails de phishing enviados a partir do domínio “oblast-ru[.]com”, supostamente controlado pelos criminosos, com links maliciosos sob o pretexto de assinatura de contratos.
Ao clicar, a vítima baixa um arquivo compactado com um script Visual Basic Encoded (.VBE). Quando executado, o script coleta informações do sistema e as envia para um servidor remoto. Em seguida, baixa uma carga adicional escrita em Delphi, que exibe um contrato falso como distração enquanto o malware rouba documentos internos, registros do sistema e dados de dispositivos removíveis. Entre os arquivos visados estão formatos como *.doc, *.pdf, *.xls, imagens, e-mails e apresentações. O Batavia ainda pode baixar outros binários para ampliar o roubo, mirando arquivos comprimidos, textos e perfis de navegadores.
Os dados coletados são enviados ao domínio “ru-exchange[.]com” antes de uma possível quarta fase do ataque com um executável desconhecido. Segundo a Kaspersky, mais de 100 usuários em dezenas de empresas foram alvo nos últimos 12 meses. Além de documentos, o spyware exfiltra listas de programas instalados e componentes do sistema. Paralelamente, o Fortinet FortiGuard Labs relatou outra campanha com o malware NordDragonScan, que também utiliza phishing com arquivos RAR e atalhos do Windows (LNK) para executar códigos maliciosos via mshta.exe. O NordDragonScan coleta documentos, perfis do Chrome e Firefox, e captura telas, enviando tudo a um servidor remoto.
