Batavia Spyware

जुलाई 2024 से एक परिष्कृत साइबर जासूसी अभियान सक्रिय रूप से रूसी संगठनों को निशाना बना रहा है। इस अभियान के केंद्र में बटाविया नामक एक पूर्व में अनिर्दिष्ट स्पाइवेयर है, जिसे वैध अनुबंध प्रस्तावों के रूप में दिखने के लिए डिज़ाइन किए गए भ्रामक ईमेल के माध्यम से तैनात किया जाता है।

संक्रमण श्रृंखला: ईमेल से जासूसी तक

यह हमला हमलावर द्वारा नियंत्रित डोमेन oblast-ru.com से भेजे गए सावधानीपूर्वक तैयार किए गए फ़िशिंग ईमेल से शुरू होता है। ये संदेश प्राप्तकर्ताओं को एक नकली अनुबंध हस्ताक्षर अनुरोध के साथ लुभाते हैं और इनमें एक दुर्भावनापूर्ण लिंक भी शामिल होता है। लिंक पर क्लिक करने से एक विजुअल बेसिक एनकोडेड स्क्रिप्ट (.VBE फ़ाइल) वाली एक आर्काइव फ़ाइल डाउनलोड होने लगती है।

एक बार निष्पादित होने के बाद, स्क्रिप्ट होस्ट सिस्टम के बारे में विस्तृत जानकारी एकत्र करके और उसे दूरस्थ सर्वर पर प्रेषित करके, टोही कार्य करती है। यह एक द्वितीयक पेलोड, जो डेल्फी में लिखा गया एक निष्पादन योग्य है, के डाउनलोड को ट्रिगर करता है।

डेल्फी मैलवेयर: ध्यान भटकाना और डेटा चोरी

डेल्फी-आधारित मैलवेयर संभवतः पीड़ित को व्यस्त रखने के लिए एक नकली अनुबंध प्रस्तुत करता है। इस बीच, यह गुप्त रूप से कई संवेदनशील जानकारी एकत्र करता है, जिनमें शामिल हैं:

• सिस्टम लॉग और इंस्टॉल किए गए सॉफ़्टवेयर की जानकारी
• Microsoft Office और अन्य दस्तावेज़ प्रकार (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
• होस्ट से जुड़े किसी भी हटाने योग्य डिवाइस से स्क्रीनशॉट और डेटा

मैलवेयर की कार्यक्षमता यहीं समाप्त नहीं होती। यह अपने कमांड-एंड-कंट्रोल सर्वर से एक अतिरिक्त बाइनरी फ़ाइल भी डाउनलोड करता है। यह फ़ाइल एक्सफ़िल्ट्रेशन के लिए और भी व्यापक प्रकार की फ़ाइलों को इकट्ठा करने के लिए डिज़ाइन की गई है।

विस्तारित फ़ाइल संग्रह क्षमताएँ

दूसरे चरण की बाइनरी चोरी किए गए डेटा के दायरे को महत्वपूर्ण रूप से विस्तारित करती है, जिसमें शामिल हैं:

• छवियाँ और ग्राफ़िकल फ़ाइलें: *.jpeg, *.jpg, *.cdr
• ईमेल और पाठ-आधारित सामग्री: *.eml, *.csv, *.txt, *.rtf
• प्रस्तुतियाँ और अभिलेख: *.ppt, *.pptx, *.odp, *.rar, *.zip

एकत्रित की गई सारी जानकारी एक अलग डोमेन, ru-exchange.com, पर भेज दी जाती है, जो चौथे चरण के निष्पादन योग्य फ़ाइल के लिए वितरण बिंदु का भी काम करता है। यह अज्ञात घटक संभवतः आगे की दुर्भावनापूर्ण गतिविधियों के साथ हमले की श्रृंखला को जारी रखता है।

व्यापक प्रभाव और एकत्रित डेटा

पिछले एक साल में, कई दर्जन संगठनों के 100 से ज़्यादा उपयोगकर्ताओं को इन फ़िशिंग संदेशों का निशाना बनाया गया है। अंतिम पेलोड पूरी तरह से डेटा संग्रह सुनिश्चित करता है, न केवल व्यक्तिगत और कॉर्पोरेट दस्तावेज़ों को, बल्कि:

• स्थापित सॉफ़्टवेयर की पूरी सूची
• डिवाइस ड्राइवरों के बारे में जानकारी
• ऑपरेटिंग सिस्टम घटक विवरण

निष्कर्ष: एक समन्वित और विकसित जासूसी खतरा

बटाविया स्पाइवेयर अभियान रूस में संगठनात्मक सुरक्षा के लिए एक समन्वित और लगातार खतरे को दर्शाता है। इसकी बहु-चरणीय संक्रमण श्रृंखला, और साथ ही फ़ाइलों और सिस्टम इंटेलिजेंस की एक विस्तृत श्रृंखला को निकालने की इसकी क्षमता, इसे एक दुर्जेय जासूसी उपकरण के रूप में चिह्नित करती है। संगठनों को सतर्क रहना चाहिए और ऐसे उन्नत, भ्रामक हमलों से बचाव के लिए सक्रिय सुरक्षा उपाय अपनाने चाहिए।