В России участились фишинговые атаки, замаскированные под официальные уведомления ФССП

Компании и частные лица столкнулись с новой волной кибератак, в ходе которых распространяется троян DarkWatchman. Злоумышленники отправляют письма, имитирующие сообщения от московского Межрайонного отдела судебных приставов, убеждая получателей открыть вложенный файл.

По данным специалистов центра исследования киберугроз Solar 4RAYS, резкий рост активности преступников зафиксирован ещё в конце февраля. Анализ сети сенсоров и ханипотов показывает, что количество обращений к управляющему серверу DarkWatchman увеличилось в пять раз. Эта кампания уже стала самой крупной за весь 2025 год.

Фальшивые письма создавались по образцу официальных уведомлений Федеральной службы судебных приставов, но рассылались с поддельных электронных адресов. Внутри сообщений находился архив с названием «Исполнительный лист № 27186421-25 от .zip». По данным Kaspersky GReAT, вредоносные письма получили как минимум 100 российских организаций. Эксперт Kaspersky GReAT Георгий Кучерин отметил, что злоумышленники использовали имя того же судебного пристава, который фигурировал в аналогичных атаках 2022 года.

Федеральная служба судебных приставов подтвердила увеличение случаев использования её имени в мошеннических схемах. В пресс-службе ведомства подчеркнули, что судебные приставы не связываются с гражданами через мессенджеры, не отправляют СМС и не используют электронную почту для передачи официальной информации. Также в ФССП порекомендовали не открывать вложения и не переходить по ссылкам из подозрительных писем, а при получении подобных сообщений проверять адрес отправителя. Вся официальная корреспонденция службы поступает исключительно с её официального домена.

Троян DarkWatchman впервые был обнаружен в 2021 году и за это время претерпел значительные изменения. В 2023 году он применялся в мошеннических рассылках под видом повесток, а в 2024 году использовался в многоступенчатых атаках против российских компаний. Как отметил эксперт центра Solar 4RAYS Иван Тимков, последние модификации этого зловреда сделали его практически незаметным для антивирусных программ.

Основная функция DarkWatchman — перехват нажатий клавиш, что позволяет преступникам получать данные для входа в личные кабинеты, финансовую информацию и другую конфиденциальную переписку. Кроме того, этот троян содержит бэкдор, предоставляющий злоумышленникам возможность управлять заражёнными устройствами, загружать файлы и исполнять произвольные команды.

Согласно оценкам BI.ZONE Threat Intelligence, атака связана с политическими мотивами и нацелена на завладение финансовыми активами. Одним из активных операторов DarkWatchman остаётся группа Watch Wolf.