Мошенники рассылают вредоносные письма бухгалтерам: опасная схема

Что произошло? В компании-разработчике F6 рассказали о деятельности киберпреступной группировки Hive0117, существующей почти пять лет.

Только с начала 2026 года её участники атаковали более 3000 организаций из разных отраслей: они рассылали вредоносные письма, заражающие компьютеры бухгалтеров, после чего переводили денежные средства на счета дропов, в том числе под видом зарплатных выплат.

Злоумышленники выдают себя за реально существующие организации и регистрируют инфраструктуру для рассылок и управляющие домены, часто используя домены повторно. Затем они рассылают вредоносные письма, которые маскируют под стандартную деловую переписку с темами писем: «Документы», «Счёт на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».

Вредоносный файл скрывается в архивах и документах, обычно используемых бухгалтерами. Пароли к архивам указывают в тексте письма, чтобы обойти фильтры почты и антивирусы. Если открыть архив — будет запущен скрытый файл, устанавливающий на устройство троян удалённого доступа.

После его установки преступники извлекают сохранённые в браузере пароли, активные сессии и другие пользовательские данные.

Аналитики F6 рекомендуют бухгалтерам и финансовым специалистам не открывать без проверки файлы от неизвестных отправителей и при признаках вредоносной активности изолировать ПК от внешней сети.

Читайте дополнительно по теме:

• слив архивных бухгалтерских документов: мошенники атакуют бывших сотрудников.
• финансовое мошенничество: какие бывают схемы и как себя защитить бизнесу.
• работодателей запугивают фальшивыми письмами о проверках.