Batavia spyware orosz ipari szervezetek ellen
A Kaspersky jelentése szerint a Batavia egy 2024 júliusa óta aktív, célzott spyware‑kampány része, amely oroszországi ipari szervezeteket vesz célba, elsősorban szerződésnek álcázott spear‑phishing e-mailekkel. Ezekben olyan hivatkozásokat küldenek, amik letöltetik a felhasználóval a *.vbe kiterjesztésű fertőző fájlokat – látszólagos dokumentumként –, amikor a letöltött VBS‑script elindul, letölti a WebView.exe második stádiumot, majd visszaküldi a rendszerinformációkat az irányítóknak.
A harmadik fázisban a javav.exe nevű, C++‑ban írt látszólag legitim komponens aktiválódik, ami kiterjeszti az adattolvaj tevékenységet, dokumentumokat, képeket, táblázatokat, prezentációkat, e‑maileket és tömörített fájlokat gyűjt, majd titkosítva továbbítja egy másik C2‑címre. A script rendszerindításkor is futtatja magát, így tartós jelenlétet biztosít maga számára. A kutatók három szakaszos fertőzést azonosítottak, a kezdeti VBS‑letöltő, a Delphi alapú WebView, végül a nagyobb adatgyűjtő C++ modul – amelyet a jövőben kiegészítő kódblokkok követhetnek (windowsmsg.exe). Az irányítók (C2) két domain alatt működnek, oblast-ru[.]com és ru-exchange[.]com.
A kampányban több tucat orosz vállalat dolgozói estek áldozatul, az incidens 2025 elejére felerősödött, különösen februárban volt erős aktivitás. A fertőzések elsősorban középszintű ipari szereplőket céloznak – elsősorban dokumentumlopásra, hírszerzésre fókuszálnak, nem pedig puszta zsarolásra – ami arra utal, hogy elsősorban kémtevékenységet folytatnak.