As ameaças cibernéticas nem sempre vêm com sinais de alerta. Às vezes, eles chegam como anúncios patrocinados. Desde meados de 2023, uma rede com motivação financeira tem sequestrado silenciosamente sistemas de folha de pagamento, cooperativas de crédito e plataformas de negociação nos Estados Unidos. O método deles? Malvertising. Seu objetivo? Dinheiro. O nome deles? Piratas da folha de pagamento.
Esta não é uma campanha única. É uma operação coordenada que evoluiu ao longo do tempo técnica, taticamente e geograficamente.
A rede tem como alvo mais de 200 interfaces e atraiu mais de 500 mil usuários, representando uma das operações de roubo de credenciais mais persistentes dos últimos anos.
Em maio de 2023, pesquisadores de gerenciamento de risco externo da Check Point observado sites de phishing que se faziam passar por plataformas de folha de pagamento.
Esses sites foram promovidos por meio do Google Ads, visando funcionários que fazem login em portais de RH. Depois que as credenciais foram roubadas, os invasores redirecionaram os salários para suas próprias contas.
A infraestrutura foi dividida em clusters. Cada um tinha seus próprios domínios, canais de Telegram e métodos de exfiltração. Mas os kits eram quase idênticos, sugerindo uma origem partilhada ou um modelo de mercado onde vários operadores utilizavam as mesmas ferramentas.
Um retorno mais inteligente
Em junho de 2024, a rede voltou com kits atualizados. As páginas de phishing agora incluem elementos dinâmicos capazes de contornar autenticação de dois fatores (2FA).
As operadoras usaram bots do Telegram para interagir com as vítimas em tempo real, solicitando códigos únicos e respostas de segurança.
O back-end foi redesenhado. Em vez de expor endpoints de exfiltração, os kits usaram scripts como xxx.php e check.php para se comunicar silenciosamente com os operadores. Isso tornou a infraestrutura mais difícil de detectar e quase impossível de interromper.
Em agosto de 2024, a Malwarebytes relatou táticas semelhantes usadas contra um grande varejista. Em dezembro, a SilentPush publicou um mergulho profundo na mesma rede, confirmando sua expansão em cooperativas de crédito e plataformas de negociação.
Picos significativos de atividade em palavras-chave rastreadas foram observados em setembro de 2025, levando a equipe de pesquisa de gerenciamento de risco externo da Check Point a reabrir sua investigação.
Devido a uma falha de segurança operacional por parte dos invasores, os pesquisadores obtiveram visibilidade da rede. A equipe descobriu um único Bot de telegrama orquestrar feedback 2FA em todos os diferentes tipos de cooperativas de crédito, folha de pagamento, benefícios de saúde, plataformas de negociação e muito mais. Isso revelou que todos os relatórios se referiam à mesma rede, não apenas a um kit de phishing compartilhado.
Os registros mostraram pelo menos quatro administradores, cada um gerenciando canais de destino diferentes. Uma operadora postou um vídeo da costa do Mar Negro, perto de Odesa, sugerindo uma localização física.
A mesma operadora também era membro de vários grupos focados em Dnipro, outra cidade ucraniana, sugerindo que pelo menos algumas das operadoras estavam baseadas na Ucrânia.
Dois clusters, um objetivo
A rede opera em dois clusters principais:
Cluster 1: Google Ads + Cloaking de redirecionamento
Este método usa “páginas brancas” para passar nas análises de anúncios. Essas páginas parecem inofensivas, mas redirecionam as vítimas para sites de phishing quando ativadas. A hospedagem geralmente é feita por meio de provedores no Cazaquistão e no Vietnã, com domínios registrados em massa.
Cluster 2: Bing Ads + domínios antigos
Este cluster é direcionado a instituições financeiras que usam Microsoft Ads. Os domínios envelhecem há meses e hospedam dezenas de páginas de phishing com URLs aleatórios. Um serviço de cloaking da Adspect.ai determina qual página mostrar com base na impressão digital do navegador.
Ambos os clusters usam os mesmos kits de phishing. As páginas se adaptam dinamicamente com base no feedback do operador, facilitando o desvio da maioria dos métodos de autenticação.
Os kits seguem padrões de nomenclatura consistentes: xxx.php, analytics.php, check.php. Algumas versões mais recentes usam ofuscado JavaScript (script.js) para ocultar sua lógica de exfiltração.
As contas de anúncios são verificadas e geralmente executam campanhas que parecem legítimas. As operadoras usam IPs residenciais e roteadores nos EUA com PPTP aberto, possivelmente parte de uma lista de proxy adquirida.
O que as organizações podem fazer
Esta campanha permanece ativa. As organizações devem monitorar as redes de anúncios em busca de campanhas suspeitas direcionadas a portais de funcionários e serviços financeiros, usar autenticação resistente a phishing para ações confidenciais, denunciar anúncios fraudulentos e abuso de hospedagem a provedores relevantes e implantar contas honeypot para coletar inteligência sobre ameaças.
A rede Payroll Pirates não é apenas persistente, é adaptativa. Foi construído para escalar, construído para se esconder e construído para vencer. Mas com as ferramentas, insights e vigilância certos, as organizações podem interromper as suas operações antes de chegarem à folha de pagamento.
A solução de gerenciamento de risco externo da Check Point monitora continuamente redes de anúncios, abuso de credenciais e mudanças de infraestrutura na web aberta, profunda e escura para detectar campanhas de phishing em seus estágios iniciais, ajudando as organizações a se protegerem contra roubo de credenciais e fraude na folha de pagamento.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.