Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

«Ваш груз вернут, если не оплатите сегодня». Хакеры Watch Wolf разослали тысячу писем российским госструктурам и банкам, маскируясь под логистов

DarkWatchman Watch Wolf фишинг кибератака BI.ZONE
«Ваш груз вернут, если не оплатите сегодня». Хакеры Watch Wolf разослали тысячу писем российским госструктурам и банкам, маскируясь под логистов
DarkWatchman Watch Wolf фишинг кибератака BI.ZONE

Даже опытные сотрудники госорганов попадаются на удочку фишеров.

image

В марте 2026 года специалисты BI.ZONE рассказали о масштабной фишинговой кампании, нацеленную на финансовые и государственные организации России. Злоумышленники разослали более тысячи писем, маскируясь под сотрудников логистических компаний, а в качестве оружия использовали троян удалённого доступа DarkWatchman. По данным компании, за атакой стоит группировка Watch Wolf.

Первую волну рассылки обнаружили и заблокировали 13 марта. Письма приходили со скомпрометированного почтового адреса с темой «Счет на оплату», а вложения имитировали финансовые документы. Атакующие представлялись бухгалтерами логистической компании.

Спустя пять дней BI.ZONE заблокировала сразу несколько новых рассылок. В одной из кампаний злоумышленники выдавали себя за специалистов по организации перевозок в промышленном секторе. Письма с темой «Счет» содержали вложения, замаскированные под финансовые документы, и уведомление о том, что срок бесплатного хранения груза истёк. Получателей подталкивали к немедленным действиям: если не отреагировать в тот же день, груз якобы будет возвращён.

Во всех случаях сценарий строился на классических приёмах социальной инженерии — давлении, ощущении срочности и угрозах негативными последствиями. К письмам прикреплялись архивы с самораспаковывающимися исполняемыми файлами, которые при запуске разворачивали вредоносную нагрузку: троян DarkWatchman и дополнительный модуль-кейлоггер для скрытого перехвата логинов и паролей.

После успешного запуска вредоносная программа закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает дальнейших команд. В результате атакующие получают полный удалённый контроль над заражённым компьютером и возможность отслеживать активность пользователя.

Watch Wolf — финансово мотивированная группировка, которая компрометирует системы ради доступа к онлайн-банкингу и кражи денежных средств. Помимо фишинговых рассылок группировка использует отравление поисковой выдачи (SEO poisoning): создаёт сайты с вредоносным ПО и продвигает страницы на первые позиции поисковых систем по запросам, которые часто вводят бухгалтеры. Watch Wolf связана с другой известной финансово мотивированной группой — Buhtrap.