Несколько волн масштабных рассылок вредоносных писем, адресованных бухгалтерам российских компаний, обнаружили в феврале — марте 2026 года специалисты департамента киберразведки (Threat Intelligence) компании F6. Письма содержали троян удаленного доступа, который устанавливался на корпоративные компьютеры для последующего вывода средств.
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне трансакционной антифрод-системы», — говорит руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков.
Резервируйте нужную сумму и обменивайте выгодно
Мой профиль
