BI.ZONE: Watch Wolf вновь атакует российские компании

В марте 2026 года команда BI.ZONE Mail Security зафиксировала фишинговую рассылку, направленную на сотрудников финансовых и государственных учреждений России. Всего было отправлено более тысячи писем.

Атаку проводила кибергруппировка Watch Wolf с использованием трояна удалённого доступа DarkWatchman.

• 13 марта была заблокирована первая волна рассылки. Письма приходили с темой «Счет на оплату» от имени сотрудника бухгалтерии логистической компании и содержали вредоносные вложения, замаскированные под финансовые документы.
• 18 марта были заблокированы новые рассылки. В них злоумышленники представились специалистами по организации перевозок в промышленном секторе. Письма с темой «Счет» содержали уведомление об окончании срока бесплатного хранения груза и требовали срочных действий.

Во всех случаях применялись методы социальной инженерии: создание срочности и угроза негативных последствий (возврат груза при отсутствии реакции в тот же день). Письма содержали самораспаковывающиеся архивы (.exe), при запуске которых устанавливался троян DarkWatchman и дополнительный модуль-кейлоггер для перехвата вводимых данных (логинов и паролей).

После заражения вредоносное ПО скрытно закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает команд злоумышленников, предоставляя им удалённый доступ к компьютеру и возможность отслеживать действия пользователя.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:«Чтобы противостоять подобным атакам, организациям необходимо выстраивать комплексную защиту. Рекомендуем проводить регулярное обучение сотрудников по распознаванию фишинга. Так, нужно обращать внимание на давление, срочность и подозрительные формулировки в письмах. Даже если сообщение выглядит убедительно, следует внимательно проверять адрес отправителя и домен. Также важно соблюдать осторожность при работе с вложениями: файлы из непроверенных источников, особенно архивы и исполняемые программы, увеличивают риски.На уровне IT-инфраструктуры необходимо использовать средства фильтрации почты и обнаружения угроз на периметре, включая анализ вложений и ссылок до их доставки пользователю. На конечных устройствах должна быть реализована многоуровневая защита. Для этого нужно использовать антивирус, а также внедрить системы обнаружения и реагирования (EDR). Они позволяют выявлять более сложную вредоносную активность, например попытки закрепиться в системе, установку связи с инфраструктурой или аномальное поведение процессов».

Watch Wolf — финансово-мотивированная кибергруппировка, целью которой является компрометация систем для получения доступа к онлайн-банкингу и кражи денежных средств.

Группа использует фишинговые письма, а также вредоносные веб-сайты, продвигаемые через отравление поисковой выдачи (SEO poisoning). Watch Wolf связана с другой финансово-мотивированной группой — Buhtrap.

Ранее BI.ZONE Threat Intelligence фиксировала кампанию Watch Wolf, направленную на компрометацию рабочих станций бухгалтеров российских организаций. Основная цель атак — хищение денежных средств через онлайн-банкинг. Для привлечения жертв злоумышленники применяли метод SEO poisoning: добавляли на вредоносные сайты ключевые слова, чтобы они попадали в топ поисковой выдачи по релевантным запросам.

MAX — https://max.ru/id771377261033_biz
Telegram — https://t.me/divannyi_it