Механизм атаки и хищения средств
В феврале и марте 2026 года была зафиксирована серия целенаправленных рассылок вредоносных писем. Целью атак стали бухгалтеры более чем 3000 российских организаций из различных отраслей экономики.
В письмах, маскирующихся под служебные документы, такие как акты сверки или счета на оплату, содержался троян удаленного доступа DarkWatchman. Это вредоносное ПО, используемое хакерской группировкой Hive0117, позволяет злоумышленникам получать скрытый контроль над зараженным компьютером.
Финансовые последствия
Заражение происходило при открытии пользователем вложенного архивного файла. После установки трояна киберпреступники получали доступ к системам дистанционного банковского обслуживания, используемым для платежных операций.
Для вывода денег применялась новая схема. Используя взломанные рабочие места бухгалтеров, злоумышленники оформляли платежи по зарплатным реестрам. Однако вместо реальных сотрудников в реестрах указывались счета дропов — подставных лиц. Если такие операции не блокировались антифрод-системами банков, средства успешно списывались со счетов компаний.