F6: киберпреступники похищают деньги компаний под видом зарплаты

Аналитики F6 зафиксировали новую тактику финансово мотивированных злоумышленников, атакующих российские компании

F6: киберпреступники похищают деньги компаний под видом зарплаты — Источник изображения: Архив компании F6

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новую тактику финансово мотивированных злоумышленников, атакующих российские компании. Киберпреступники в ходе целевых атак в феврале-марте 2026 года заражали компьютеры бухгалтеров с использованием вредоносных писем, получали доступ к системам дистанционного банковского обслуживания и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты. Вредоносные письма были отправлены в адрес более чем 3000 российских организаций. Средняя сумма ущерба компаний от успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.

«Открой меня»

В феврале-марте 2026 года система защиты корпоративной почты F6 Business Email Protection (F6 BEP) обнаружила несколько волн масштабных рассылок вредоносных писем, которые специалисты департамента киберразведки компании F6 связали с деятельностью киберпреступной группы. Злоумышленники проводили рассылки, ориентированные на бухгалтеров, в адрес более 3000 российских компаний из разных отраслей. В марте частота и масштаб рассылок заметно возросли. Вредоносные рассылки клиентам F6 были успешно заблокированы.

Группировка действует с конца 2021 года и примечательна использованием бесфайлового вредоносного ПО DarkWatchman. Она нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей были замечены пользователи из Литвы, Эстонии, Беларуси и Казахстана.

В новой волне атак вредоносные письма отправляли с предположительно скомпрометированных почтовых ящиков, один из которых принадлежит московскому разработчику сайтов и мобильных приложений. Во всех случаях в письмах с темами «Акт сверки», «Счет на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.

DarkWatchman RAT — троян удаленного доступа. Используется киберпреступниками для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. Распространяется в основном через фишинговые письма, которые содержат защищенные паролем архивы.

Анализ содержимого писем показал, что целевой аудиторией злоумышленников были специалисты финансовых департаментов. Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных. Пароли к этим архивам были указаны в тексте письма — так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов.

При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершат платежные операции.

Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Доверительный платеж

Особенность атак на бухгалтеров образца 2026 года — в новой тактике, которую злоумышленники применяют для кражи денег со счетов компаний.

Продвинутые антифрод-решения, которые банки используют для защиты клиентов — физических лиц, позволяют за считанные доли секунды проанализировать каждую платежную операцию по множеству параметров и показателей, начиная с устройства пользователя и установленных на нем приложений до контекста транзакции и рисковых признаков. Это позволяет заблокировать подозрительные переводы.

Для вывода денег со счетов организаций киберпреступники применили новую уловку. Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платежные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.

Аналитики департамента противодействия финансовому мошенничеству компании F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля — начале марта 2026 года составила около 3 млн руб., а максимальная сумма похищенного превысила 14 млн руб.

«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод-системы», — говорит Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству компании F6.