Специалисты «Лаборатории Касперского» выявили целевую кибератаку на российские компании с помощью ранее неизвестного троянца Batavia. Злоумышленники рассылают фишинговые письма под видом деловой переписки, чтобы похитить конфиденциальные данные предприятий.
Специалисты «Лаборатории Касперского» сообщили о новой киберугрозе – троянце Batavia, который с июля 2024 года используется в атаках на российские компании. Информация об этом была представлена в рамках выставки «Иннопром-2025» в Екатеринбурге.
По данным экспертов, вредоносная программа нацелена в первую очередь на промышленные и научные организации с целью кражи внутренних документов. Фишинговые письма с троянцем получили сотрудники нескольких десятков предприятий, включая судостроительные, авиационные и нефтегазовые компании, а также конструкторские бюро.
Batavia был впервые обнаружен весной 2025 года. Программа состоит из VBA-скрипта и исполняемых файлов и предназначена для сбора данных. В их число входят системные журналы, перечни установленного ПО, электронные письма и документы в различных форматах. Также троянец способен делать скриншоты и загружать дополнительные вредоносные компоненты.
«В марте 2025 года наши системы зафиксировали рост числа детектирований однотипных файлов с именами «договор-2025-5», «приложение», «dogovor» на устройствах российских организаций, главным образом — промышленных. В ходе исследования стало понятно, что в них «прячется» ранее неизвестный троянец, которому мы дали название Batavia. Интересно, что он не обладает функциональностью, характерной для классического шпионского ПО, и заточен главным образом под кражу документов».
Артем Ушков, исследователь угроз в «Лаборатории Касперского»
Атака начинается с рассылки электронных писем, маскирующихся под предложение подписать договор. Вложение содержит вредоносную ссылку, при открытии которой запускается процесс заражения. Одновременно на устройстве может отображаться документ-приманка. После установки троянец собирает информацию и передает ее злоумышленникам.