Desde marzo de 2025, los correos electrónicos de contratos falsos han difundido el software de espía de Batavia en ataques específicos contra organizaciones rusas. Desde marzo de 2025, una campaña de phishing dirigida contra las organizaciones rusas ha utilizado correos electrónicos falsos con temas de contratos para difundir el spyware de Batavia, un nuevo malware diseñado para robar documentos internos. El ataque, en curso desde julio de 2024, comienza con enlaces a archivos maliciosos .vbe disfrazados de contratos o archivos adjuntos. El malware incluye un script VBA y dos ejecutables, detectados por Kaspersky como variantes de Trojan. Batavia. «Desde principios de marzo de 2025, nuestros sistemas han registrado un aumento en las detecciones de archivos similares con nombres como договор-2025-5.vbe, приложение.vbe y dodovor.vbe (traducción: contrato, apego) entre los empleados de varias organizaciones rusas». Lee el informe publicado por la firma rusa de ciberseguridad Kaspersky. «El ataque objetivo comienza con correos electrónicos de cebo que contienen enlaces maliciosos, enviados con el pretexto de firmar un contrato». Al hacer clic en el enlace incluido en los mensajes de phishing, descarga un script VBE que recopila información del sistema y recupera un archivo de malware (webView.exe) del dominio del atacante. El script verifica la versión del sistema operativo para decidir cómo ejecutar la carga útil y envía datos al servidor de comando y control (C2). El ataque utiliza parámetros a medida por correo electrónico para administrar las etapas de infección y evadir la detección. En la segunda etapa de la cadena de ataque, el malware webView.exe (escrito en Delphi) descarga y muestra un contrato falso, luego comienza a espiar el sistema infectado. Recopila registros del sistema, documentos de oficina y captura periódicamente capturas de pantalla, enviándolas a un nuevo servidor C2. Para evitar cargas duplicadas, hashas cada archivo. También descarga una nueva etapa de malware (javav.exe) y establece un atajo de inicio para iniciarlo en reinicio, continuando el ciclo de infección. En la última etapa de la cadena de ataque, el malware javav.exe, escrito en C ++, se expande en etapas anteriores al dirigir más tipos de archivos (por ejemplo, imágenes, correos electrónicos, presentaciones, archivos) y exfiltrándolos a un servidor C2 utilizando una ID de infección actualizada (2HC1 –…). Ahora puede cambiar su dirección C2 y descargar/ejecutar nuevas cargas útiles (Windowsmsg.exe) utilizando un bypass UAC a través de ComputerDefaults.exe. La comunicación con el C2 está encriptada, y el malware continúa evitando cargas duplicadas mediante archivos hash. Según Kaspersky, esta etapa introduce flexibilidad y persistencia para facilitar una mayor actividad maliciosa. Los investigadores notaron que las víctimas de la campaña de spyware de Batavia eran empresas industriales rusas. Los datos de telemetría de Kaspersky muestran que más de 100 usuarios de varias docenas de organizaciones recibieron los mensajes de phishing. «También vale la pena señalar que el vector de infección inicial en esta campaña son los correos electrónicos de cebo. Esto resalta la importancia de la capacitación regular de los empleados y la sensibilización sobre las prácticas de seguridad cibernética corporativa». concluye el informe. Sígueme en Twitter: @SecurityAffairs y Facebook y Mastodon Pierluigi Paganini (SecurityAffairs-Hacking, Batavia Spyware) Publicación original URL: https://securityaffairs.com/179699/uncorized/new-batavia-spyware–russian-industrial-entustrial.enterrises. Uncategorized, Batavia Spyware, Cibercime, Hacking, Hacking News, Information Security Security, Malware, Pierluigi Paganini, Rusia, Asuntos de Seguridad, Noticias de seguridad – Uncategorized, Batavia Spyware, Cybercrime, Hacking, Hacking, Information Security News, TI Security, Malware, Pierluigi Paganini, Russia, Affairs de seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad.