Pesquisadores da empresa de cibersegurança ReliaQuest revelaram uma nova campanha maliciosa que utiliza técnicas de envenenamento de SEO (Search Engine Optimization) para fraudar folhas de pagamento. O golpe tem como alvo dispositivos móveis de funcionários, induzindo-os a acessarem páginas falsas ao procurarem portais de pagamento de salários em buscadores como o Google.

Detectada pela primeira vez em maio de 2025, durante um ataque a uma empresa do setor industrial, a campanha consiste em criar páginas falsas de login que imitam o portal oficial da organização. Ao inserir as credenciais, o funcionário entrega ao hacker o acesso ao sistema de pagamento, permitindo que os salários sejam redirecionados para contas controladas pelo invasor. A infraestrutura usada para os ataques inclui roteadores residenciais e redes móveis comprometidas, dificultando a detecção e burlando os controles de segurança corporativa.

O ataque começa com um simples erro: um funcionário buscando o portal de pagamento no Google pode clicar em um link patrocinado malicioso, que o redireciona a uma página falsa. Essa página, geralmente hospedada em WordPress, conduz a um portal falso de login da Microsoft, especialmente se o acesso for feito por celular. Ao digitar os dados, as credenciais são enviadas a um servidor controlado pelos hackers, e uma conexão WebSocket é aberta para notificá-los imediatamente via API do Pusher, permitindo uso quase instantâneo das credenciais antes que sejam alteradas.

A escolha dos dispositivos móveis como vetor de ataque oferece vantagens aos criminosos: eles geralmente não contam com o mesmo nível de proteção que os computadores corporativos e, ao estarem fora da rede da empresa, reduzem a visibilidade e dificultam a investigação. Isso impede, por exemplo, que equipes de segurança identifiquem rapidamente os domínios maliciosos e os incluam em listas de bloqueio.

Outra técnica observada é a utilização de IPs residenciais, vindos de roteadores de marcas como ASUS e Pakedge, para realizar os logins fraudulentos. Esses dispositivos, muitas vezes mal configurados, são explorados com credenciais padrão ou falhas de segurança e convertidos em botnets de proxy — que são alugadas por grupos hackers para disfarçar a origem dos ataques. Como esses IPs parecem legítimos e locais, escapam dos filtros que detectam VPNs ou logins suspeitos.

A divulgação do golpe ocorre paralelamente a outras descobertas de campanhas de phishing em larga escala. A plataforma Hunt.io identificou um esquema que simula o serviço Adobe Shared File para roubar credenciais do Outlook, utilizando o kit de phishing W3LL. Já a empresa Proofpoint detalhou um novo kit chamado CoGUI, voltado a organizações japonesas, que imita marcas conhecidas como Amazon, Apple e Rakuten. Com técnicas avançadas de evasão como geofencing e fingerprinting, já foram enviados 580 milhões de e-mails com esse kit entre janeiro e abril de 2025.

O CoGUI, lançado em outubro de 2024, compartilha características com o Darcula, outro kit do ecossistema chinês de phishing-as-a-service conhecido como Smishing Triad, que também inclui os kits Lucid e Lighthouse. O Darcula é mais voltado para roubo de dados de cartões de crédito por meio de smishing, enquanto o CoGUI visa principalmente roubo de credenciais, embora não colete códigos de autenticação multifator.

Outro destaque é o surgimento do Panda Shop, um kit de smishing altamente personalizável que opera via canais do Telegram e bots automatizados. Ele foca em roubo de dados pessoais e bancários, se passando por marcas populares e serviços governamentais. Os dados capturados são vendidos em fóruns clandestinos e usados para fraudes financeiras. Segundo a empresa Resecurity, os grupos chineses por trás dessas operações agem com impunidade, ignorando leis internacionais por estarem fora do alcance de autoridades ocidentais.

Via - THN