Кибермошенники воруют деньги компаний под видом перечисления зарплаты
Несколько волн масштабных рассылок вредоносных писем, адресованных бухгалтерам российских компаний, обнаружили в феврале — марте 2026 года специалисты департамента киберразведки (Threat Intelligence) компании F6. Письма содержали троян удаленного доступа, который устанавливался на корпоративные компьютеры для последующего вывода средств.
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне трансакционной антифрод-системы», — говорит руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков.Источник: Banki.ru
Читайте также
Вклад «Пенсионный» Солид Банка в лидерах рейтинга лучших вкладов для пенсионеров в апреле
Аналитический департамент «Выберу.ру» составил рейтинг Лучших вкладов для пенсионеров в апреле 2026 года
ОКБ: женщины берут больше кредитов, но на меньшие суммы
Согласно данным Объединённого Кредитного Бюро, основная доля кредитов, выданных в I квартале 2026 года, пришлась на заёмщиков в возрасте 25-45 лет
Что изменится в законах о недвижимости и ЖКХ с мая 2026 года
Рассказываем о ключевых изменениях, которые ждут собственников и арендаторов жилья в последний месяц весны
Два банка окончательно объединились
ВТБ завершил юридическое присоединение Почта Банка
Что ждёт рубль в мае?
Российский рубль завершил апрель мощным укреплением к мировым резервным валютам
ЦБ ужесточил выдачу ипотеки и кредитов под залог с 1 июля
Банк России ужесточил макропруденциальные лимиты по ипотеке и нецелевым залоговым кредитам
«Эксперт РА» обнаружил у малого бизнеса скрытый стресс
В 2025 году объем проблемных кредитов в этом секторе достиг рекордных 17,8%
За 2025 год утроилось число участников программы долгосрочных сбережений
Число участников программы долгосрочных сбережений в 2025 году выросло до 9 млн человек
Торговые центры в России стали превращать в апартаменты
Торговая недвижимость переживает кризис
ФНС взяла на контроль закрытые паевые фонды недвижимости
Объем сделок через закрытые фонды вырос в три раза за последние три года