As ameaças cibernéticas estão mudando a forma como atingem as vítimas. Uma rede criminosa com motivação financeira chamada Payroll Pirates tem atacado silenciosamente sistemas de folha de pagamento, cooperativas de crédito e plataformas de negociação nos Estados Unidos desde meados de 2023.
Sua arma preferida é o malvertising, em que anúncios falsos aparecem em mecanismos de pesquisa e induzem os usuários a visitar sites de phishing. Depois que os funcionários inserem seus dados de login nessas páginas falsas, os invasores roubam as informações e redirecionam os pagamentos de salários para suas próprias contas bancárias.
Esta operação organizada cresceu ao longo do tempo, visando mais de 200 plataformas diferentes e prendendo mais de 500.000 utilizadores.
A campanha começou com o Google Ads que promovia sites falsos de folha de pagamento. Quando os funcionários pesquisavam o portal de RH da empresa, viam esses anúncios patrocinados no topo dos resultados da pesquisa.
Clicar no anúncio os levou a um site de phishing que se parecia exatamente com a página real de login da folha de pagamento. Depois de inserir nomes de usuário e senhas, as credenciais roubadas foram enviadas diretamente aos invasores por meio de canais de comunicação ocultos.
Os pesquisadores de segurança da Check Point identificaram esta rede em maio de 2023, quando notaram vários sites de phishing copiando plataformas de folha de pagamento.
A investigação revelou que diferentes grupos trabalhavam juntos, compartilhando as mesmas ferramentas e métodos de ataque, mas cada um tinha seus próprios domínios e formas de coletar informações roubadas.
Em novembro de 2023, os ataques pararam temporariamente. Porém, em junho de 2024, os criminosos voltaram com ferramentas melhores. As novas páginas de phishing agora poderiam derrotar a autenticação de dois fatores usando bots do Telegram que conversavam com as vítimas em tempo real.
O serviço de cloaking de anúncios funciona (fonte – Check Point)
Quando um usuário digitava sua senha, o bot solicitava imediatamente seu código de verificação ou perguntas de segurança. O sistema atualizado também usou scripts de back-end reprojetados que tornaram a detecção muito mais difícil.
Em vez de pontos óbvios de coleta de dados, os invasores agora usavam scripts PHP ocultos com nomes simples como xxx.php, check.php e analytics.php para enviar informações roubadas sem serem notados.
Mecanismo de roubo de credenciais em tempo real
A parte mais perigosa desta operação é como os invasores contornam as medidas de segurança. Quando uma vítima acessa a página de login falsa e insere suas credenciais, as informações são imediatamente enviadas aos operadores por meio de um bot do Telegram.
Este bot atua como centro de controle para toda a rede, lidando com solicitações de autenticação de dois fatores em todos os diferentes tipos de alvos, incluindo cooperativas de crédito, sistemas de folha de pagamento, portais de benefícios de saúde e plataformas de negociação.
Fluxo de ataque, infraestrutura e evolução (Fonte – Check Point)
O bot envia notificações aos operadores que interagem com as vítimas solicitando códigos únicos e respostas de segurança em tempo real.
Esta comunicação direta acontece em segundos, tornando quase impossível para as vítimas perceberem que estão sendo enganadas até que seja tarde demais.
Os kits de phishing usam elementos dinâmicos que mudam com base nas medidas de segurança que cada plataforma alvo usa. As páginas se adaptam automaticamente carregando diferentes formulários, dependendo se o site real solicita perguntas de segurança, verificação de e-mail ou autenticação móvel.
Os scripts de back-end se comunicam silenciosamente com as operadoras por meio de canais criptografados, mantendo toda a coleta de dados oculta das ferramentas de monitoramento de rede.
Isso torna a infraestrutura quase impossível de interromper porque não há endpoints expostos que as equipes de segurança possam bloquear ou derrubar facilmente.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
