В марте 2026 года кибергруппа Watch Wolf предприняла попытку распространения трояна DarkWatchman через фишинговую кампанию, выдавая себя за сотрудников логистической компании. Об этом сообщили представители компании Bi.Zone. В марте 2026 года команда Bi.Zone Mail Security зафиксировала активность фишинга, в ходе которой злоумышленники разослали более тысячи писем сотрудникам финансовых и государственных учреждений России. Вредоносное ПО DarkWatchman, используемое в этой атаке, представляет собой троян удаленного доступа с расширенными функциями. По данным портала киберразведки Bi.Zone Threat Intelligence, за этой атакой стоит группа Watch Wolf. Первая волна фишинговой рассылки была выявлена и заблокирована 13 марта 2026 года. Письма отправлялись со скомпрометированного почтового адреса с темой «Счет на оплату» и содержали вложения, имитирующие финансовые документы. Злоумышленники представлялись сотрудниками бухгалтерии логистической компании.
18 марта 2026 года были заблокированы несколько новых фишинговых рассылок. В одной из них злоумышленники выдавали себя за специалистов по организации перевозок в промышленном секторе. Письма с темой «Счет» также содержали вложения, замаскированные под финансовые документы. В этот раз использовался более типичный сценарий: получатели уведомлялись о завершении срока бесплатного хранения груза и призывались к срочным действиям. Во всех случаях атака строилась на приемах социальной инженерии, таких как давление, срочность и угрозы негативными последствиями. Злоумышленники утверждали, что если жертва не отреагирует на письмо в тот же день, груз будет возвращен. Вложения представляли собой архивы с исполняемыми файлами, которые при запуске разворачивали вредоносную нагрузку. В частности, запускался троян DarkWatchman и дополнительный модуль — кейлоггер, предназначенный для скрытого перехвата вводимых данных, включая логины и пароли.
Вредоносная программа действует следующим образом: после успешного выполнения она скрытно закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает дальнейших команд от злоумышленников. Это позволяет атакующим удаленно контролировать скомпрометированный компьютер и отслеживать активность пользователя. Дмитрий Царев, руководитель управления облачных решений кибербезопасности Bi.Zone, отметил, что для противостояния таким атакам организациям необходимо выстраивать комплексную защиту. Он рекомендовал проводить регулярное обучение сотрудников по распознаванию фишинга, обращая внимание на давление, срочность и подозрительные формулировки в письмах. Даже если сообщение выглядит убедительно, следует проверять адрес отправителя и домен. Также важно соблюдать осторожность при работе с вложениями: файлы из непроверенных источников, особенно архивы и исполняемые программы, увеличивают риски. На уровне ИT-инфраструктуры необходимо использовать средства фильтрации почты и обнаружения угроз на периметре, включая анализ вложений и ссылок до их доставки пользователю. На конечных устройствах должна быть реализована многоуровневая защита с использованием антивируса и систем обнаружения и реагирования (EDR).
Watch Wolf — это финансово-мотивированная группа, которая компрометирует системы для получения доступа к онлайн-банкингу и кражи денежных средств. Она использует фишинговые письма и веб-сайты, созданные для распространения вредоносного ПО, на которые привлекает жертв через отравление поисковой выдачи. Группа связана с другой финансово-мотивированной группой — Buhtrap. Ранее эксперты Bi.Zone Threat Intelligence фиксировали кампанию Watch Wolf, нацеленную на компрометацию рабочих станций бухгалтеров в российских организациях с целью вывода денежных средств через онлайн-банкинг. Злоумышленники использовали метод отравления поисковой выдачи (SEO poisoning), добавляя на сайты, распространяющие ВПО, ключевые слова, чтобы они попадали на первую страницу поисковой выдачи при определенных запросах. Чтобы защитить организацию от кибератак, важно знать, какие методы и инструменты применяют злоумышленники, включая использование актуальной повестки в своих кампаниях. Подробную информацию об этом предоставляют порталы киберразведки.