Группировка WatchWolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. И делает она это нестандартным способом: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов, сообщает BI.ZONE. 

В компании рассказали, что злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — всё это помогает выводить такие сайты на первую страницу результатов поиска.

«Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (.doc или .xls), причём не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью WatchWolf выводит средства со счетов компании», — объяснили в BI.ZONE.

По словам руководителя управления киберразведки BI.ZONE Олега Скулкина, за WatchWolf в компании следят с ноября 2021 года. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход, и подобный сценарий фиксируется впервые.

Также он отметил, что группировка распространяет троян Buhtrap, инциденты с которым часто заканчиваются значительными убытками: за последние девять лет с помощью этого вредоноса злоумышленники вывели со счетов компаний в России и СНГ около 7 млрд рублей.

Для защиты от такого рода атак можно использовать специализированные сервисы для защиты DNS-трафика, проверяющие на легитимность обращения во внешнюю сеть. Подобные решения могут получать данные от платформ киберразведки и блокируют запросы пользователей, если требуемый ресурс оказался в черных списках, заключили в BI.ZONE.

11 апреля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.07.2026
Минцифры представило новые телеком-поправки — на 3 млрд рублей
13.07.2026
zkSecurity: Лидер среди ИИ-моделей меняется от релиза к релизу
13.07.2026
«Иногда у заказчиков даже заканчивается место в ЦОДах»
13.07.2026
Microsoft будет сканировать уязвимости с помощью ИИ-агентов
13.07.2026
Институт AI Now: LLM могут подпитывать кибератаки
10.07.2026
CISO опасаются, что топ-менеджеры не осознают все киберриски
10.07.2026
«ЮниКредит Банк» не оставляет попыток уйти из России
10.07.2026
ЕК взялась за страны, проигнорировавшие Директиву NIS2
10.07.2026
Аппарат правительства России свяжет ИИ с ЭДО
10.07.2026
Google сделает резервное копирование автоматическим

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных