Эксперты центра кибербезопасности компании F6 обнаружили новую волну вредоносных писем, распространяемых пророссийской группировкой BO Team. Эта атака направлена на российские предприятия розничной торговли. Злоумышленники рассылают сотрудникам фальшивые уведомления якобы от Роскомнадзора, которые содержат архивы с опасными вложениями.
BO Team — это пророссийская хакерская группа, которая активизировалась в январе 2024 года. Она применяет вайпер для уничтожения инфраструктуры и данных своих жертв. В качестве первого этапа атаки группа использует рассылку заражённых архивов. После успешного взлома она стирает резервные копии файлов и инфраструктуру компании, а также удаляет данные с компьютеров.
Чтобы сделать свои письма более убедительными, атакующие применяют функцию «красивые адреса» одной из российских платформ для работы с документами. Эта возможность позволяет создавать дополнительные адреса отправителя в доменной зоне .ru. В результате такие адреса внешне напоминают официальные домены государственных органов.
Ранее, в марте 2026 года, специалисты F6 уже фиксировали похожую кампанию, но от имени Ространснадзора.
