Специалисты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали в феврале-марте 2026 года несколько масштабных рассылок вредоносных писем, нацеленных на бухгалтеров российских компаний. Эти письма содержали троян удаленного доступа, который после установки на корпоративные компьютеры использовался для хищения денежных средств.
Более 3000 российских компаний из различных секторов, включая промышленность, ритейл, энергетику, медиа, туризм, финансы и страхование, телеком и биотехнологии, получили эти письма. Во всех случаях злоумышленники использовали вредоносное ПО DarkWatchman, маскируя письма под "Акт сверки", "Счет на оплату" или "Уведомление об окончании срока бесплатного хранения".
DarkWatchman RAT – это троян удаленного доступа, применяемый хакерской группой Hive0117. Он позволяет скрытно получать удаленный доступ к зараженному компьютеру, выполнять различные команды, такие как загрузка других вредоносных программ, шпионаж и распространение по сети. Активация трояна происходила при открытии пользователем скрытого файла в архиве, содержавшемся в письме. После этого киберпреступники получали доступ к системам дистанционного банковского обслуживания, используемым бухгалтерами для проведения платежей.
Для хищения средств со счетов организаций кибермошенники применили новую схему. Получив удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они формировали платежи для зачисления на банковские счета по реестру. Эти операции выглядели как перечисление заработной платы, однако в реестре были указаны банковские счета дропов. Если такие платежи не блокировались антифрод-системами, злоумышленники могли вывести значительные суммы со счетов компаний.
По оценкам аналитиков F6, средний ущерб компаний от успешных атак по этой схеме в конце февраля – начале марта 2026 года составил около 3 миллионов рублей, а максимальная сумма похищенного превысила 14 миллионов рублей.
Руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков подчеркнул: «В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне трансакционной антифрод-системы».
Данная новость указывает на эволюцию методов кибермошенничества, демонстрируя переход к более изощренным схемам, маскирующимся под легитимные финансовые операции. Использование троянов удаленного доступа для получения контроля над системами дистанционного банковского обслуживания бухгалтеров, а затем вывод средств под видом зарплатных выплат на счета дропов, подчеркивает необходимость комплексного подхода к кибербезопасности. Важность усиления защиты на стороне клиента и внедрения более строгих антифрод-систем для мониторинга зарплатных реестров становится очевидной. Отсутствие детальной информации о конкретных уязвимостях, использованных для обхода антифрод-систем, не позволяет сделать более глубокие выводы о возможных методах предотвращения подобных инцидентов.