Un nouveau logiciel espion ciblant des entreprises russes a été découvert : il s’agit de Batavia, une menace furtive exploitant les failles de sécurité Windows pour exfiltrer des documents sensibles. Ce spyware Windows inconnu jusqu’alors est diffusé via une campagne de phishing particulièrement bien orchestrée, selon l’éditeur de cybersécurité Kaspersky. Si vous cherchez à comprendre comment les attaquants infiltrent les systèmes à l’aide de scripts malveillants et de charges successives, cette analyse devrait retenir votre attention.
Une attaque ciblée sophistiquée contre des organisations russes
Des courriels pièges imitant des contrats officiels
Depuis juillet 2024, des organisations russes subissent une cyberattaque ciblée initiée par des e-mails frauduleux contenant des liens malveillants. Ces messages proviennent du domaine « oblast-ru[.]com« , contrôlé par les attaquants. L’approche repose sur la simulation de procédures contractuelles, incitant les victimes à cliquer pour lire un soi-disant contrat.
Un script ciblant les données du système
Après l’ouverture du lien, le destinataire télécharge une archive contenant un script Visual Basic codé (.VBE). Une fois exécuté, ce script analyse la configuration du système et envoie les informations récoltées vers un serveur distant. Ensuite, un exécutable en Delphi est téléchargé pour poursuivre l’infection.
Fonctionnalités du spyware Batavia
Vol de documents et fichiers sensibles
Batavia agit discrètement, en affichant une copie factice du prétendu contrat pendant qu’il collecte en arrière-plan des documents bureautiques au format Word, PDF, Excel et OpenDocument. Des captures d’écran sont également réalisées, et les périphériques USB connectés sont passés au peigne fin.
Extension des données collectées
Une deuxième charge logicielle est ensuite installée. Celle-ci cible une gamme plus étendue de fichiers comme les images (JPEG, CDR), les présentations PowerPoint, les e-mails (.eml), les fichiers compressés (.rar, .zip), ou encore les documents texte (.txt, .rtf). Ces données sont envoyées à un second domaine contrôlé par les attaquants : « ru-exchange[.]com« .
Une attaque multistade organisée par un acteur expérimenté
Persistance et quatrième payload
La quatrième étape consiste en l’installation d’un exécutable supplémentaire. Peu d’informations circulent encore sur cette dernière charge, mais son rôle semble être de renforcer la persistance de l’infection et de poursuivre la collecte de données à long terme.
Plus de 100 utilisateurs touchés selon Kaspersky
Les données télémétriques de Kaspersky révèlent que plus d’une centaine d’utilisateurs ont reçu ces e-mails piégés au cours de l’année passée. Les fichiers exfiltrés comprennent aussi bien des documents confidentiels que des listes de programmes, pilotes et composants du système d’exploitation installés sur les machines compromises.
Une autre menace : le malware NordDragonScan
Un stealer qui exploite mshta.exe
En parallèle, Fortinet FortiGuard Labs a détecté une autre campagne malveillante utilisant un stealer Windows baptisé NordDragonScan. Ce malware serait également diffusé via des e-mails de phishing contenant une archive RAR. À l’intérieur, un fichier de raccourci (.LNK) est conçu pour exécuter un script HTML malveillant hébergé à distance à l’aide de l’utilitaire système mshta.exe.
Collecte des profils navigateur et installation furtive
Une fois l’attaque déclenchée, le logiciel malveillant installe discrètement sa charge utile en .NET. NordDragonScan se connecte ensuite au domaine « kpuszkiev[.]com« , modifie le registre Windows pour se rendre persistant, et commence à récupérer les profils Chrome et Firefox, des captures d’écran ainsi que d’autres documents sensibles stockés sur le système de la victime.
Apprendre à mieux se protéger grâce à la formation offensive
Les techniques employées dans ces campagnes d’espionnage informatique illustrent bien l’évolution de la menace et la nécessité de rester formé et informé. Pour celles et ceux qui souhaitent mieux comprendre les attaqueurs et apprendre à détecter leurs méthodes, CyberCare propose un livre pour apprendre à hacker. Ce guide vous délivre les fondamentaux utilisés par les attaquants que vous pouvez exploiter à des fins de défense et de tests d’intrusion légaux.
Ces nouvelles campagnes ciblées renforcent l’importance de faire appel à des services de cybersécurité comme ceux proposés par CyberCare, qui vous accompagnent dans la surveillance, l’analyse et la protection proactive contre les menaces avancées.
