Negli ultimi mesi, una nuova minaccia informatica ha preso di mira organizzazioni russe attraverso una campagna di phishing sofisticata, diffondendo uno spyware per Windows denominato Batavia. Secondo le analisi dei ricercatori di sicurezza, questa attività è attiva dal luglio 2024 e sfrutta email ingannevoli inviate con il pretesto di stipulare un contratto. Queste email contengono link malevoli che, una volta cliccati, portano al download di un archivio contenente uno script Visual Basic Encoded (file .VBE).

L’esecuzione dello script permette agli attaccanti di profilare il sistema compromesso ed esfiltrare informazioni sensibili verso un server remoto controllato dagli stessi criminali. Successivamente, viene scaricato dal server un ulteriore payload, questa volta un eseguibile scritto in Delphi, che amplia le capacità del malware. Batavia non si limita a sottrarre i documenti interni delle vittime, ma raccoglie anche log di sistema, screenshot e documenti di Office come file doc, docx, ods, odt, pdf, xls e xlsx. L’attività malevola si estende anche a dispositivi rimovibili collegati al computer infetto.

Un ulteriore aspetto critico risiede nella capacità del malware di scaricare ulteriori binari per collezionare file di tipologie ancora più varie, tra cui immagini, email, presentazioni PowerPoint, file di archivio e documenti testuali. Tutti i dati raccolti vengono poi trasmessi a un dominio differente, da cui parte un nuovo stadio del cyberattacco, garantendo così la persistenza e l’evoluzione della minaccia.

I dati di telemetria mostrano che più di cento utenti appartenenti a decine di organizzazioni russe hanno ricevuto email di phishing nel corso dell’ultimo anno. Oltre ai documenti, Batavia sottrae informazioni dettagliate sul sistema, tra cui l’elenco dei programmi installati, i driver e le componenti dell’OS.

Campagna parallela: NordDragonScan

Parallelamente, è stata individuata una seconda campagna che sfrutta lo stealer per Windows NordDragonScan. Anche in questo caso il vettore d’attacco sembra essere una email di phishing che conduce al download di un archivio RAR contenente un file LNK. Quest’ultimo utilizza mshta.exe per eseguire uno script HTA, permettendo l’installazione silenziosa di un payload .NET, il furto di profili Chrome e Firefox e la raccolta di screenshot e documenti.

La diffusione di spyware e stealer sempre più avanzati sottolinea l’importanza di rafforzare le difese contro le minacce di phishing e di mantenere aggiornata la postura di sicurezza informatica.