В марте 2026 года команда BI.ZONE Mail Security зафиксировала фишинговую активность, за которой стоит кибергруппировка Watch Wolf, сообщает BI.ZONE во вторник.
Злоумышленники разослали более тысячи писем сотрудникам финансовых и государственных учреждений России. Атакующие использовали вредоносное ПО DarkWatchman — троян удалённого доступа с расширенной функциональностью.
Ранее эксперты BI.ZONE Threat Intelligence фиксировали кампанию группы Watch Wolf, нацеленную на компрометацию рабочих станций бухгалтеров в российских организациях. Целью атаки был вывод денежных средств через онлайн‑банкинг. Злоумышленники прибегали к отравлению поисковой выдачи (SEO poisoning). Этот метод реализуется через добавление на сайты, распространяющие ВПО, ключевых слов, позволяющих им попадать на первую страницу поисковой выдачи при определенных запросах.
Сейчас первую волну рассылки выявили и заблокировали 13 марта. Письма отправлялись со скомпрометированного почтового адреса с темой «Счет на оплату» и вложениями, которые имитировали финансовые документы. Злоумышленники представлялись сотрудниками бухгалтерии из логистической компании.
Затем 18 марта были заблокированы сразу несколько новых рассылок. В одной из них атакующие выдавали себя за специалистов по организации перевозок в промышленном секторе. В письмах злоумышленников с темой «Счет» также были вложения, замаскированные под финансовые документы. В этот раз атакующие использовали более типичный сценарий: распространяли уведомление, что срок бесплатного хранения груза закончился, и призывали к срочным действиям.
Во всех случаях сценарий атаки строился на типичных приёмах социальной инженерии: давлении, срочности и угрозах негативными последствиями. В письмах злоумышленники утверждали, что если жертва не отреагирует на письмо в тот же день, груз будет возвращён.
К письмам прикреплялись архивы с исполняемыми файлами внутри — это самораспаковывающиеся архивы, которые разворачивают вредоносную нагрузку при их запуске. В частности, запускался троян удаленного доступа DarkWatchman, а еще дополнительный модуль — кейлоггер, предназначенный для скрытого перехвата вводимых пользователем данных, включая логины и пароли.
Вредоносная программа работает следующим образом: при успешном выполнении она скрытно закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает дальнейших команд от злоумышленников. Впоследствии атакующие получают возможность удаленно контролировать скомпрометированный хост и отслеживать активность пользователя.
Дмитрий Царёв, руководитель управления облачных решений кибербезопасности BI.ZONE:
«Чтобы противостоять подобным атакам, организациям необходимо выстраивать комплексную защиту. Рекомендуем проводить регулярное обучение сотрудников по распознаванию фишинга. Так, нужно обращать внимание на давление, срочность и подозрительные формулировки в письмах. Даже если сообщение выглядит убедительно, следует внимательно проверять адрес отправителя и домен. Также важно соблюдать осторожность при работе с вложениями: файлы из непроверенных источников, особенно архивы и исполняемые программы, увеличивают риски.
На уровне IT-инфраструктуры необходимо использовать средства фильтрации почты и обнаружения угроз на периметре, включая анализ вложений и ссылок до их доставки пользователю. На конечных устройствах должна быть реализована многоуровневая защита. Для этого нужно использовать антивирус, а также внедрить системы обнаружения и реагирования (EDR). Они позволяют выявлять более сложную вредоносную активность, например попытки закрепиться в системе, установку связи с инфраструктурой или аномальное поведение процессов».
Watch Wolf — финансово-мотивированная группа, которая компрометирует системы с целью получения доступа к онлайн-банкингу и кражи денежных средств. Использует фишинговые письма, а также веб-сайты, созданные с целью распространения вредоносного программного обеспечения, на которые привлекает жертв через отравление поисковой выдачи. Связана с другой финансово-мотивированной группой — Buhtrap.
