Кибермошенники воруют деньги компаний под видом перечисления зарплаты
Несколько волн масштабных рассылок вредоносных писем, адресованных бухгалтерам российских компаний, обнаружили в феврале — марте 2026 года специалисты департамента киберразведки (Threat Intelligence) компании F6. Письма содержали троян удаленного доступа, который устанавливался на корпоративные компьютеры для последующего вывода средств.
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне трансакционной антифрод-системы», — говорит руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков.Источник: Banki.ru
Читайте также
В ЦБ заявили о запрете на обмен биткоина на наличные рубли
Операции с криптовалютами в России будут осуществляться исключительно в безналичной форме, а возможность «обналичивания» биткоина внутри страны не рассматривается
Unicredit вместо продажи российской «дочки» может заняться ее ликвидацией
Группа Unicredit пересмотрела стратегию в отношению своего российского актива - Юникредитбанка
АКРА предупредило об обострении региональных дисбалансов на рынке жилья
В 30 регионах зафиксирован дефицит предложения при избытке спроса в 25 субъектах
ВТБ и One TwoTrip: Казань стала самым популярным направлением на майские праздники
В 2026 году россияне отдыхают 1-3 и 9-11 мая, а при оформлении отпуска на период с 4 по 8 мая продолжительность каникул может составить до 11 дней
Изменения в семейной ипотеке: предложение жилья может вырасти в 13 раз
Доля больших квартир под семейную ипотеку может вырасти в 13 раз
Продолжит ли рубль укрепление?
Биржевой курс юаня в ходе торгов 9 апреля снижается к 11,4 рубля
Рост рынка интернет-рекламы замедлился до 28% в 2025 году
В 2024 году этот показатель был на уровне 53%
C 1 июля банки станут заполнять ИНН клиента при переводах через СБП
C 1 июля банки станут заполнять ИНН клиента при переводах через СБП
Банки сократят до 24 часов срок передачи данных клиентов о мошенничествах
Банки начнут вносить информацию от клиентов о мошенничестве в специальную систему Национальной системы платежных карт в течение суток
ЦБ: проблемы с отключением интернета «побуждают население» запасаться наличными
В марте объем наличных денег в обращении в России увеличился на 300 млрд рублей