Кибермошенники воруют деньги компаний под видом перечисления зарплаты
Несколько волн масштабных рассылок вредоносных писем, адресованных бухгалтерам российских компаний, обнаружили в феврале — марте 2026 года специалисты департамента киберразведки (Threat Intelligence) компании F6. Письма содержали троян удаленного доступа, который устанавливался на корпоративные компьютеры для последующего вывода средств.
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне трансакционной антифрод-системы», — говорит руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков.
Источник: Banki.ru
Всего письма получили более 3000 российских компаний в сфере промышленности, ритейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
DarkWatchman RAT — троян удаленного доступа. Используется хакерской группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платежные операции.
Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
Аналитики F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн рублей.
«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне трансакционной антифрод-системы», — говорит руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков.
Источник: Banki.ru
Читайте также
Минцифры ужесточило требования к операторам искусственного интеллекта
Эксперты предупредили о росте нагрузки на малый бизнес из-за новых норм
АКИТ попросила не вводить верификацию через Max и СМС
Бизнес просит дать пользователям выбор между СМС и Max
Суд признал банкротом экс-бенефициара банка «Югра» Хотина
Арбитражный суд Москвы по заявлению Альфа-банка признал Хотина банкротом и ввел в отношении него процедуру реализации имущества
Ставки по ипотеке впервые с 2024-го стали ниже 20%: что будет со спросом
Ставки по ипотеке впервые с 2024-го стали ниже 20%
Более 80% желающих взять займы столкнулись с отказом за последний год
Положительное решение получил каждый десятый
Россияне продают наличные доллары
Появилась статистика за март
ЦБ установил официальные курсы на 7 апреля
Рубль продолжает укрепляться
60% россиян готовы сменить банк ради нефинансовых сервисов
Большинство россиян считают удобным и выгодным включение предложений от партнеров в мобильный банк
«Монетная неделя» началась в Дальневосточном банке
Традиционная акция «Монетная неделя» началась сегодня в Дальневосточном банке
РСХБ запустил новый сервис подбора и дизайна упаковки фермерских продуктов
На платформе «Своё Фермерство» от РСХБ запускается онлайн-сервис по подбору и дизайну упаковки