Массовая волна фишинга писем якобы от судебных приставов обрушилась на десятки компаний и граждан в РФ, сообщили «Известиям» эксперты по кибербезопасности. Эту информацию подтвердили в ФССП. Злоумышленники маскируют вредоносные письма под официальные уведомления от московского Межрайонного отдела судебных приставов, и внутри каждого сообщения находится архив, после открытия которого вирус-троян проникает как в корпоративную сеть, так и в личную. Он незаметно фиксирует каждое нажатие клавиш на устройстве жертвы, позволяя получать доступ к паролям и банковским данным. О том, какие еще схемы используют мошенники, — в материале «Известий».
Как атакуют под видом приставов
Новую мощную волну фишинга на российские компании с использованием вируса-трояна удаленного доступа DarkWatchman RAT зафиксировали специалисты по кибербезопасноти. Вредоносные письма, замаскированные под официальные уведомления от московского Межрайонного отдела судебных приставов, получили несколько десятков организаций из разных регионов, сообщили «Известиям» эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар».
Всплеск зафиксировали в конце февраля с помощью сети сенсоров и ханипотов (уязвимых систем): количество обращений к управляющему серверу DarkWatchman резко выросло — почти в пять раз. Нынешняя волна фишинга с данным вредоносом — самая мощная с начала года.
О росте числа попыток обмана со стороны мошенников, которые выдают себя за судебных приставов, заявили и в Федеральной службе судебных приставов.
«В своей преступной деятельности они используют поддельные уведомления и электронную рассылку фишинговых писем. ФССП России обращает внимание, что судебные приставы не звонят через приложения мессенджеров, не направляют СМС-сообщения и не пользуются электронной почтой для официальных уведомлений», — сообщили «Известиям» в пресс-службе ведомства.
С вредоносным ПО DarkWatchman RAT российские компании столкнулись в 2021 году. С тех пор злоумышленники периодически проводят подобные кампании, меняя легенду и шаблоны писем, совершенствуя при этом вирус. Последние изменения делают программу более устойчивой к детектированию антивирусными средствами и усложняют ее анализ.
— Несмотря на внешнюю простоту, подобные вредоносы представляют серьезную угрозу для корпоративной и личной кибербезопасности, — отметил эксперт центра Иван Тимоков.
Например, в этот раз использовалась техника Reflective DLL Loading, которая не оставляет следов на диске атакованного компьютера и таким образом затрудняет обнаружение заражения защитными средствами.
В новой рассылке злоумышленники замаскировали свое письмо под официальные уведомления от Межрайонного отдела судебных приставов по исполнению постановлений налоговых органов города Москвы. Все письма были отправлены с поддельного адреса электронной почты. Внутри каждого сообщения находился архив с именем «Исполнительный лист № 27186421-25 от <date>.zip». И в этом архиве скрывался исполняемый файл, который при запуске устанавливал на хост жертвы вирус DarkWatchman RAT.
— Основная функция этого трояна — кейлоггер, который незаметно фиксирует каждое нажатие клавиш на клавиатуре жертвы, позволяя злоумышленникам получать доступ к паролям, банковским данным и другой чувствительной информации, — добавил эксперт. — DarkWatchman также обладает возможностями бэкдора — позволяет киберпреступникам удаленно управлять зараженными системами, загружать новые файлы и выполнять различные команды.
Атаки подтвердил и эксперт Kaspersky GReAT Георгий Кучерин. Такие письма в феврале – марте 2025 года пришли примерно сотне организаций.
— Подобные письма от судебных приставов, распространяющие DarkWatchman RAT, мы наблюдаем уже на протяжении нескольких лет, — отметил он. — Как минимум с 2022 года: в письмах, обнаруженных несколько лет назад, использовалось то же самое имя судебного пристава, что и в 2025 году.
Какие схемы используют мошенники
В Координационном центре доменов .RU/.РФ сообщили, что в зоне Рунета такие атаки не фиксируют — «вероятно, мошенники используют для нее e-mail адреса доменов других зон».
Там напомнили, что это вредоносное ПО уже неоднократно было задействовано для атак на российских граждан и компании: в 2023 году троян DarkWatchman RAT распространялся через фишинговые письма под видом мобилизационных предписаний, а в прошлом году его выдавали за запрос бухгалтерских или налоговых документов.
Одной из группировок, распространяющих это вредоносное ПО, стала Watch Wolf, рассказал «Известиям» руководитель BI.ZONE Threat Intelligence Олег Скулкин. Это коммерчески мотивированные злоумышленники, их цель — получить доступ к финансовым активам скомпрометированной организации.
— Watch Wolf активно использует фишинговые рассылки для доставки вредоносного ПО, — сказал эксперт. — При этом в письмах атакующие используют актуальные заголовки: «Изменение адреса электронной почты», «Договор страхования жизни», «Уведомление об окончании срока бесплатного хранения», «Исполнительный лист» и др.
Помимо рассылок группировка использует отравление поисковой выдачи. Преступники перенаправляют сотрудников организаций на фишинговые сайты, например, с бухгалтерскими документами: вместо необходимых файлов жертва загружает вредоносную программу.
Несмотря на общее снижение числа злоупотреблений в Рунете, фишинг по-прежнему остается главной киберугрозой, указал аналитик данных Координационного центра Евгений Панков. В рамках проекта «Доменный патруль» на него приходится около 80% обращений компетентных организаций к регистраторам.
— Сейчас наиболее популярны схемы, направленные на взлом аккаунтов в Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России. — Ред.), — отметил он. — Мошенники создают фишинговые страницы, имитирующие формы авторизации в мессенджере, и под разными предлогами убеждают пользователя ввести логин и пароль.
После получения доступа к аккаунту, они рассылают сообщения по списку контактов, например, с просьбой занять деньги или получить якобы полагающиеся выплаты от государства.
Помимо писем, исходящих якобы от судебных приставов, злоумышленники, распространяющие DarkWatchman RAT, также отправляли в феврале – марте 2025 года письма, содержащие якобы заявки на расчет, добавил Георгий Кучерин. В тексте такого письма указано, что заявка исходит от компании, работающей в сфере оборонной промышленности.
— Во вложении к этому письму приложен архив с паролем. Пример имени: «Док-ты на расчет ФЕВРАЛЬ-МАРТ.rar», указанным в тексте письма, — предупредил эксперт. — В самом архиве расположен исполняемый файл, при запуске которого на заражаемый компьютер устанавливает DarkWatchman RAT.
Как взаимодействовать с приставами
Для предотвращения заражения и дальнейшего развития атаки DarkWatchman RAT и подобного вредоносного ПО эксперты советуют регулярно проводить тренинги по кибербезопасности для сотрудников компании, а также использовать решения для защиты электронной почты, которые предотвращают доставку фишинговых писем до конечного пользователя.
В ФССП порекомендовали проявлять бдительность при поступлении подобных электронных сообщений, не переходить по ссылкам, не загружать неизвестные файлы, не передавать мошенникам свои личные персональные данные, в том числе сведения о банковских картах и счетах, и не выполнять требования о проведении по ним каких-либо финансовых операций.
«Во избежание мошеннических действий необходимо проверять письма, в которых содержатся призывы к действиям, например: открой, прочитай, ознакомься, а также с темами, связанными с долгами, финансами и банками, — указали в ведомстве. — Для безопасной работы с электронной почтой ФССП не рекомендует переходить по ссылкам, если они длинные или созданы с помощью сервисов сокращения ссылок: bit.ly, tinyurl.com и тому подобных. Пользователям не стоит нажимать на ссылки из письма, если они заменены на слова, а также не наводить на них «мышкой» и просматривать полный адрес сайтов».
Кроме того, следует внимательно изучить адреса официальных сайтов ФССП России и ее территориальных органов, чтобы избежать использования поддельных сайтов, предлагающих узнать о наличии задолженностей. Поддельные сайты могут копировать дизайн официального сайта ведомства и интерфейс сервиса «Банк данных исполнительных производств».
— Разночтения с официальным и поддельным адресом может быть минимальным и отличаться одним знаком, — подчеркнули в пресс-службе. — Уведомление о возбуждении исполнительного производства направляется гражданам почтой либо в личный кабинет на портале госуслуг.
Получить достоверную информацию о наличии задолженности возможно с помощью «Банка данных исполнительных производств» на официальном сайте или в приложении ФССП, а также с помощью портала госуслуг, напомнили в ведомстве. Погасить имеющуюся задолженность возможно только через портал или сформировав квитанцию для оплаты задолженности в любой кредитной организации.
