Grupo Hive0117 Ataca Contadores na Rússia e CIS com Malware DarkWatchman
Uma nova onda de ataques cibernéticos orquestrada pelo grupo Hive0117 tem como alvo contadores em empresas na Rússia e em países da Comunidade de Estados Independentes (CIS). Utilizando o malware DarkWatchman, os criminosos buscam roubar fundos através de sistemas de Internet Banking.
MundiX News·19 de junho de 2026·4 min de leitura·👁 2 views
Especialistas da empresa F6 relataram uma nova onda de ataques do grupo Hive0117. Os criminosos estão visando contadores de empresas e infectando suas máquinas com o malware DarkWatchman, com o objetivo de obter acesso a sistemas de Internet Banking (ДБО - дистанционное банковское обслуживание) para roubar dinheiro.
De acordo com as estimativas dos pesquisadores, desde o início do ano, o grupo realizou aproximadamente 400 ataques bem-sucedidos contra organizações russas, e o prejuízo médio aumentou de 3 milhões para 10 milhões de rublos. O grupo Hive0117 está ativo pelo menos desde o final de 2021 e é conhecido por usar o malware fileless DarkWatchman. Os principais alvos do grupo são os departamentos financeiros de empresas. Além de organizações russas, entre as vítimas do grupo estão pelo menos seis empresas da Bielorrússia (dos setores de telecomunicações, indústria, comércio, etc.), três do Cazaquistão (lojas online e uma empresa da indústria química) e mais uma empresa do Uzbequistão (produtora de bebidas).
Segundo especialistas, em fevereiro e março deste ano, os criminosos enviaram e-mails maliciosos para mais de 3.000 empresas russas de diversos setores. Entre os assuntos dessas mensagens, encontravam-se formulações familiares aos contadores (por exemplo, "Fatura para pagamento", "Ato de reconciliação", "Nota fiscal" e "Dívida de pagamento"). Os e-mails continham anexos RAR protegidos por senha, dentro dos quais se escondia um arquivo malicioso disfarçado de documentos financeiros. A senha do arquivo era fornecida diretamente no corpo do e-mail, o que ajuda a contornar filtros de e-mail e verificações antivírus.
Após a execução do arquivo na máquina da vítima, o malware DarkWatchman é instalado no sistema. Ele baixa um módulo keylogger para a máquina infectada. Este, por sua vez, intercepta as teclas pressionadas, monitora o conteúdo da área de transferência e até rastreia a conexão de tokens criptográficos. O fato é que esses tokens são frequentemente usados para acessar sistemas de Internet Banking de pessoas jurídicas.
Quando um token é conectado ao computador, os criminosos passam para a próxima fase do ataque e implantam ferramentas de acesso remoto no sistema. Em particular, os pesquisadores observaram o uso de LiteManager, BitRAT e malwares com funcionalidade hVNC. Estes últimos permitem controlar o sistema através de uma área de trabalho virtual, ocultando as atividades dos hackers do usuário.
A principal diferença da campanha atual é um novo esquema para a retirada de dinheiro. Se antes os golpistas usavam com mais frequência transferências diretas, agora eles processam pagamentos através de folhas de pagamento. Após obter acesso ao sistema de Internet Banking, os criminosos criam folhas de pagamento que parecem transferências salariais normais para os funcionários, mas, na verdade, o dinheiro é enviado para contas de 'drops' (laranjas). Os pesquisadores observam que, se essas operações de pagamento não passarem pelos sistemas antifraude, os criminosos conseguem retirar quantias significativas das contas das empresas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da empresa F6 relataram uma nova onda de ataques do grupo Hive0117. Os criminosos estão visando contadores de empresas e infectando suas máquinas com o malware DarkWatchman, com o objetivo de obter acesso a sistemas de Internet Banking (ДБО - дистанционное банковское обслуживание) para roubar dinheiro.
De acordo com as estimativas dos pesquisadores, desde o início do ano, o grupo realizou aproximadamente 400 ataques bem-sucedidos contra organizações russas, e o prejuízo médio aumentou de 3 milhões para 10 milhões de rublos. O grupo Hive0117 está ativo pelo menos desde o final de 2021 e é conhecido por usar o malware fileless DarkWatchman. Os principais alvos do grupo são os departamentos financeiros de empresas. Além de organizações russas, entre as vítimas do grupo estão pelo menos seis empresas da Bielorrússia (dos setores de telecomunicações, indústria, comércio, etc.), três do Cazaquistão (lojas online e uma empresa da indústria química) e mais uma empresa do Uzbequistão (produtora de bebidas).
Segundo especialistas, em fevereiro e março deste ano, os criminosos enviaram e-mails maliciosos para mais de 3.000 empresas russas de diversos setores. Entre os assuntos dessas mensagens, encontravam-se formulações familiares aos contadores (por exemplo, "Fatura para pagamento", "Ato de reconciliação", "Nota fiscal" e "Dívida de pagamento"). Os e-mails continham anexos RAR protegidos por senha, dentro dos quais se escondia um arquivo malicioso disfarçado de documentos financeiros. A senha do arquivo era fornecida diretamente no corpo do e-mail, o que ajuda a contornar filtros de e-mail e verificações antivírus.
Após a execução do arquivo na máquina da vítima, o malware DarkWatchman é instalado no sistema. Ele baixa um módulo keylogger para a máquina infectada. Este, por sua vez, intercepta as teclas pressionadas, monitora o conteúdo da área de transferência e até rastreia a conexão de tokens criptográficos. O fato é que esses tokens são frequentemente usados para acessar sistemas de Internet Banking de pessoas jurídicas.
Quando um token é conectado ao computador, os criminosos passam para a próxima fase do ataque e implantam ferramentas de acesso remoto no sistema. Em particular, os pesquisadores observaram o uso de LiteManager, BitRAT e malwares com funcionalidade hVNC. Estes últimos permitem controlar o sistema através de uma área de trabalho virtual, ocultando as atividades dos hackers do usuário.
A principal diferença da campanha atual é um novo esquema para a retirada de dinheiro. Se antes os golpistas usavam com mais frequência transferências diretas, agora eles processam pagamentos através de folhas de pagamento. Após obter acesso ao sistema de Internet Banking, os criminosos criam folhas de pagamento que parecem transferências salariais normais para os funcionários, mas, na verdade, o dinheiro é enviado para contas de 'drops' (laranjas). Os pesquisadores observam que, se essas operações de pagamento não passarem pelos sistemas antifraude, os criminosos conseguem retirar quantias significativas das contas das empresas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
