{"id":22692,"date":"2025-07-12T10:26:51","date_gmt":"2025-07-12T13:26:51","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22692"},"modified":"2025-07-12T10:30:57","modified_gmt":"2025-07-12T13:30:57","slug":"espionagem-utilizando-phishing","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/07\/basico\/espionagem-utilizando-phishing\/","title":{"rendered":"Espionagem utilizando phishing"},"content":{"rendered":"\n

A ascens\u00e3o silenciosa do spyware Batavia: espionagem sofisticada via phishing direcionado<\/strong><\/p>\n

Contexto e descoberta<\/strong><\/p>\n

No in\u00edcio de julho de 2025, a Kaspersky divulgou a descoberta de uma nova campanha de espionagem cibern\u00e9tica que afetou organiza\u00e7\u00f5es industriais russas desde julho de 2024. A amea\u00e7a, batizada de Batavia<\/strong>, emprega t\u00e9cnicas de phishing direcionado para furtivamente acessar sistemas Windows, extrair documentos e informa\u00e7\u00f5es sens\u00edveis, e manter presen\u00e7a persistente nos ambientes comprometidos<\/span>.<\/p>\n

\u00a0<\/p>\n

Vetor de ataque: e-mails como isca<\/strong><\/p>\n

O vetor inicial \u00e9 altamente personalizado: e\u2011mails com conte\u00fado falsamente relacionado a contratos \u2014 hospedados em dom\u00ednios controlados pelos criminosos (ex.: oblast-ru.com<\/em>) \u2014 conduzem v\u00edtimas a baixar um arquivo comprimido contendo um script VBE. Quando executado, o script identifica o sistema infectado e prepara o ambiente para a segunda fase do ataque<\/span>.<\/p>\n

\u00a0<\/p>\n

Implanta\u00e7\u00e3o do payload Delphi<\/strong><\/p>\n

A segunda fase envolve um execut\u00e1vel escrito em Delphi, baixado do servidor atacante. Disfar\u00e7ado por uma interface de \u201ccontrato\u201d, o malware coleta silenciosamente dados do sistema operacional, lista de programas, drivers e arquivos internos (.doc, .pdf, .xls etc.). Ele tamb\u00e9m monitora dispositivos remov\u00edveis, aproveitando-se do descuido comum de usu\u00e1rios ao conectar USBs<\/span>.<\/p>\n

\u00a0<\/p>\n

Evolu\u00e7\u00e3o do spyware em m\u00faltiplos est\u00e1gios<\/strong><\/p>\n

Al\u00e9m das fun\u00e7\u00f5es iniciais, o payload tem capacidade de baixar m\u00f3dulos adicionais focados em um conjunto mais amplo de dados \u2014 incluindo imagens, e\u2011mails, apresenta\u00e7\u00f5es e arquivos de texto. O spyware envia esses artefatos para um dom\u00ednio separado (ex.: ru-exchange.com<\/em>) e, subsequentemente, baixa um quarto est\u00e1gio modular, indicando um design bem estruturado e modular<\/span>.<\/p>\n

\u00a0<\/p>\n

Alcance e impacto da campanha<\/strong><\/p>\n

De acordo com telemetria da Kaspersky, mais de 100 v\u00edtimas em dezenas de organiza\u00e7\u00f5es russas foram impactadas ao longo do ano. O escopo sugere uma opera\u00e7\u00e3o com recursos consider\u00e1veis e grande conhecimento do alvo \u2014 talvez vinculada a espionagem industrial ou estatal<\/span>.<\/p>\n

\u00a0<\/p>\n

Comparativo t\u00e9cnico: Batavia\u00a0 x campanhas similares<\/strong><\/p>\n

Embora a opera\u00e7\u00e3o Batavia seja in\u00e9dita, ela compartilha caracter\u00edsticas com outras amea\u00e7as recentes como NordDragonScan (identificado pela Fortinet). Essa amea\u00e7a tamb\u00e9m utiliza phishing com arquivos RAR e scripts maliciosos via LNK, coletando capturas de tela, perfis de navegadores e documentos<\/span>. O que diferencia Batavia \u00e9 sua arquitetura escal\u00e1vel, uso de Delphi e cadeia de m\u00faltiplos dom\u00ednios, criando resili\u00eancia operacional.<\/p>\n

\u00a0<\/p>\n

Refor\u00e7ando defesas e mitiga\u00e7\u00e3o<\/strong><\/p>\n