ТОП 10 лучших статей российской прессы за
Март 19, 2025

На троянском кону

Рейтинг:

Автор: Яна Штурма. Известия

Кибермошенники маскируются под судебных приставов

Массовая волна фишинга - писем якобы от судебных приставов - обрушилась на десятки компаний и граждан в РФ, сообщили "Известиям" эксперты по кибербезопасности. Эту информацию подтвердили в ФССП. Злоумышленники маскируют вредоносные письма под официальные уведомления от московского межрайонного отдела судебных приставов, и внутри каждого сообщения находится архив, после открытия которого вирус троян проникает как в корпоративную сеть, так и в личную. Он незаметно фиксирует каждое нажатие клавиш на устройстве жертвы, позволяя получать доступ к паролям и банковским данным. О том, какие ещё схемы используют мошенники, - в материале "Известий".

Новую мощную волну фишинга на российские компании с использованием вируса трояна удалённого доступа DarkWatchman RAT зафиксировали специалисты по кибербезопасности. Вредоносные письма, замаскированные под официальные уведомления от московского межрайонного отдела судебных приставов, получило несколько десятков организаций из разных регионов, сообщили "Известиям" эксперты центра исследования киберугроз Solar 4RAYSTK "Conap".

Всплеск зафиксировали в конце февраля с помощью сети сенсоров и ханипотов (уязвимые системы): количество обращений к управляющему серверу DarkWatchman резко выросло - почти в пять раз. Нынешняя волна фишинга с данным вредоносом - самая мощная с начала года.

О росте количества попыток обмана со стороны мошенников, которые выдают себя за судебных приставов, заявили и в Федеральной службе судебных приставов.

"В своей преступной деятельности они используют поддельные уведомления и электронную рассылку фишинговых писем. ФССП России обращает внимание, что судебные приставы не звонят через приложения мессенджеров, не направляют CMC-сообщения и не пользуются электронной почтой для официальных уведомлений", - сообщили "Известиям" в пресс-службе ведомства.

С вредоносным ПО DarkWatchman RAT российские компании столкнулись в 2021 году. С тех пор злоумышленники периодически проводят подобные кампании, меняя легенду и шаблоны писем, совершенствуя при этом вирус. Последние изменения делают программу более устойчивой к детектированию антивирусными средствами и усложняют её анализ.

- Несмотря на внешнюю простоту, подобные вредоносы представляют серьёзную угрозу для корпоративной и личной кибербезопасности, - отметил эксперт центра Иван Тимков.

Например, в этот раз использовалась техника Reflective DLL Loading, которая не оставляет следов на диске атакованного компьютера и таким образом затрудняет обнаружение заражения защитными средствами.

В новой рассылке злоумышленники замаскировали своё письмо под официальные уведомления от межрайонного отдела судебных приставов по исполнению постановлений налоговых органов города Москвы. Все письма были отправлены с поддельного адреса электронной почты. Внутри каждого сообщения находился архив с именем "Исполнительный лист № 27186421-25 от <date>.zip". И в этом архиве скрывался исполняемый файл, который при запуске устанавливал на хост жертвы вирус DarkWatchman RAT.

- Основная функция этого трояна - кейлоггер, который незаметно фиксирует каждое нажатие клавиш на клавиатуре жертвы, позволяя злоумышленникам получать доступ к паролям, банковским данным и другой чувствительной информации, - добавил эксперт. - DarkWatchman также обладает возможностями бэкдора - позволяет киберпреступникам удалённо управлять заражёнными системами, загружать новые файлы и выполнять различные команды.

Атаки подтвердил и эксперт Kaspersky GReAT Георгий Кучерин. Такие письма в феврале-марте 2025 года пришли примерно в сотню организаций.

- Подобные письма от судебных приставов, распространяющие DarkWatchman RAT, мы наблюдаем уже на протяжении нескольких лет, - отметил он. - Как минимум с 2022 года: в письмах, обнаруженных несколько лет назад, использовалось то же самое имя судебного пристава, что и в 2025-м.

В Координационном центре доменов .RU/.РФ сообщили: в зоне рунета такие атаки не фиксируют - "вероятно, мошенники используют для них e-mail адреса доменов других зон".

Там напомнили, что это вредоносное ПО уже неоднократно было задействовано для атак на российских граждан и компании: в 2023 году троян DarkWatchman RAT распространялся через фишинговые письма под видом мобилизационных предписаний, а в прошлом году его выдавали за запрос бухгалтерских или налоговых документов.

Одной из группировок, распространяющей это вредоносное ПО, стала Watch Wolf, рассказал "Известиям" руководитель BI.ZONE Threat Intelligence Олег Скулкин. Это коммерчески мотивированные злоумышленники, их цель - получить доступ к финансовым активам скомпрометированной организации.

- Watch Wolf активно использует фишинговые рассылки для доставки вредоносного ПО, - сказал эксперт. - При этом в письмах атакующие используют актуальные заголовки: "Изменение адреса электронной почты", "Договор страхования жизни", "Уведомление об окончании срока бесплатного хранения", "Исполнительный лист" и другие.

Помимо рассылок группировка использует отправление поисковой выдачи. Преступники перенаправляют сотрудников организаций на фишинговые сайты, например с бухгалтерскими документами: вместо необходимых файлов жертва загружает вредоносную программу.

Несмотря на общее снижение количества злоупотреблений в рунете, фишинг по-прежнему остаётся главной киберугрозой, указал аналитик данных Координационного центра Евгений Панков. В рамках проекта "Доменный патруль" на него приходится около 80% обращений компетентных организаций к регистраторам.

- Сейчас наиболее популярны схемы, направленные на взлом аккаунтов в Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России. - "Известия"), - отметил он. - Мошенники создают фишинговые страницы, имитирующие формы авторизации в мессенджере, и под разными предлогами убеждают пользователя ввести логин и пароль.

После получения доступа к аккаунту они рассылают сообщения по списку контактов, например с просьбой занять деньги или получить якобы полагающиеся выплаты от государства.

Помимо писем, исходящих якобы от судебных приставов, злоумышленники, распространяющие DarkWatchman RAT, также отправляли в феврале-марте 2025 года письма, содержащие якобы заявки на расчёт, добавил Георгий Кучерин. В тексте такого письма указано: заявка исходит от компании, работающей в сфере оборонной промышленности.

- Во вложении к этому письму приложен архив с паролем. Пример имени, указанного в тексте письма, - "Док-ты на расчёт ФЕВРАЛЬ-МАРТ rаr", - предупредил эксперт. - В самом архиве расположен исполняемый файл, при запуске которого на заражаемый компьютер устанавливается DarkWatchman RAT.

Читать в оригинале

Подпишись прямо сейчас