Kể từ đầu tháng 3/2025, Kaspersky đã ghi nhận sự gia tăng phát hiện các tệp tương tự có tên như договор-2025-5[.]vbe, приложение[.]vbe và dogovor[.]vbe (tạm dịch: hợp đồng, tệp đính kèm) giữa các nhân viên tại nhiều tổ chức ở Nga. Cuộc tấn công có chủ đích bắt đầu bằng các email mồi nhử chứa liên kết độc hại với nội dung về ký kết hợp đồng. Mục tiêu chính của cuộc tấn công là lây nhiễm phần mềm gián điệp Batavia, bao gồm một script VBS và hai tệp thực thi. Để làm sáng tỏ điều này, bài viết tập trung phân tích cách thức hoạt động và lây nhiễm của phần mềm gián điệp tinh vi này, dựa trên báo cáo của Kaspersky.

DanaBot là một loại mã độc mạnh mẽ được viết bằng Delphi với khả năng theo dõi thao tác bàn phím, chụp ảnh màn hình, quay video màn hình nền của nạn nhân, đánh cắp các tệp tin, đưa nội dung tùy ý vào trình duyệt web và triển khai phần mềm độc hại giai đoạn thứ hai. Mã độc này vận hành dựa trên nền tảng Malware-as-a-Service (MaaS), cho phép kẻ tấn công thực hiện nhiều cuộc tấn công mạng khác nhau. DanaBot triển khai một giao thức nhị phân tùy chỉnh được mã hóa bằng RSA 1.024 bit và AES 256 bit ở chế độ CBC. Các máy chủ điều khiển và ra lệnh (C2) được mã hóa cứng, nhưng Tor có thể được sử dụng làm kênh truyền thông dự phòng. Bài viết này sẽ cùng khám phá cơ chế hoạt động của dòng mã độc nguy hiểm này, dựa trên báo cáo của công ty bảo mật đám mây Zscaler (Mỹ).