Множество компаний и частных лиц стали жертвами крупной фишинговой атаки. Злоумышленники используют троян DarkWatchman, выдавая его за уведомления от московского Межрайонного отдела судебных приставов.
Эксперты из центра исследования киберугроз Solar 4RAYS сообщили, что атаки начались в конце февраля. Объем запросов к центру управления DarkWatchman вырос в пять раз. Эта кампания стала самой крупной в этом году.
Мошенники отправляли вредоносные письма от имени Федеральной службы судебных приставов, но с фальшивых адресов электронной почты. Внутри был архив с названием «Исполнительный лист № 27186421-25 от <дата>.zip».
По данным Kaspersky GReAT, такие письма получили не менее 100 российских компаний. Эксперты отметили, что злоумышленники использовали имя судебного пристава, которое уже использовалось в атаках в прошлом.
Федеральная служба судебных приставов подтвердила увеличение случаев использования их имени для киберпреступлений. Они напомнили, что судебные приставы не звонят через мессенджеры, не отправляют СМС и не используют электронную почту для официальных уведомлений.
DarkWatchman впервые появился в 2021 году и с тех пор сильно изменился. Он используется для фишинга, маскируясь под повестки и атаки на компании. В 2025 году он стал почти незаметным для антивирусного ПО.
Троян фиксирует все нажатия клавиш на клавиатуре, позволяя злоумышленникам получить доступ к паролям, банковским данным и другой важной информации. Также он позволяет удаленно управлять зараженными системами.
Атака DarkWatchman является политически мотивированной и направлена на финансовые цели. Одной из групп, использующих DarkWatchman, является Watch Wolf.
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
