Funcionários perdem salários após acessarem sites falsos de RH

Pesquisadores da empresa de cibersegurança ReliaQuest revelaram uma nova campanha maliciosa que utiliza técnicas de envenenamento de SEO (Search Engine Optimization) para fraudar folhas de pagamento. O golpe tem como alvo dispositivos móveis de funcionários, induzindo-os a acessarem páginas falsas ao procurarem portais de pagamento de salários em buscadores como o Google.

Detectada pela primeira vez em maio de 2025, durante um ataque a uma empresa do setor industrial, a campanha consiste em criar páginas falsas de login que imitam o portal oficial da organização. Ao inserir as credenciais, o funcionário entrega ao hacker o acesso ao sistema de pagamento, permitindo que os salários sejam redirecionados para contas controladas pelo invasor. A infraestrutura usada para os ataques inclui roteadores residenciais e redes móveis comprometidas, dificultando a detecção e burlando os controles de segurança corporativa.

O ataque começa com um simples erro: um funcionário buscando o portal de pagamento no Google pode clicar em um link patrocinado malicioso, que o redireciona a uma página falsa. Essa página, geralmente hospedada em WordPress, conduz a um portal falso de login da Microsoft, especialmente se o acesso for feito por celular. Ao digitar os dados, as credenciais são enviadas a um servidor controlado pelos hackers, e uma conexão WebSocket é aberta para notificá-los imediatamente via API do Pusher, permitindo uso quase instantâneo das credenciais antes que sejam alteradas.

A escolha dos dispositivos móveis como vetor de ataque oferece vantagens aos criminosos: eles geralmente não contam com o mesmo nível de proteção que os computadores corporativos e, ao estarem fora da rede da empresa, reduzem a visibilidade e dificultam a investigação. Isso impede, por exemplo, que equipes de segurança identifiquem rapidamente os domínios maliciosos e os incluam em listas de bloqueio.

Outra técnica observada é a utilização de IPs residenciais, vindos de roteadores de marcas como ASUS e Pakedge, para realizar os logins fraudulentos. Esses dispositivos, muitas vezes mal configurados, são explorados com credenciais padrão ou falhas de segurança e convertidos em botnets de proxy — que são alugadas por grupos hackers para disfarçar a origem dos ataques. Como esses IPs parecem legítimos e locais, escapam dos filtros que detectam VPNs ou logins suspeitos.

A divulgação do golpe ocorre paralelamente a outras descobertas de campanhas de phishing em larga escala. A plataforma Hunt.io identificou um esquema que simula o serviço Adobe Shared File para roubar credenciais do Outlook, utilizando o kit de phishing W3LL. Já a empresa Proofpoint detalhou um novo kit chamado CoGUI, voltado a organizações japonesas, que imita marcas conhecidas como Amazon, Apple e Rakuten. Com técnicas avançadas de evasão como geofencing e fingerprinting, já foram enviados 580 milhões de e-mails com esse kit entre janeiro e abril de 2025.

O CoGUI, lançado em outubro de 2024, compartilha características com o Darcula, outro kit do ecossistema chinês de phishing-as-a-service conhecido como Smishing Triad, que também inclui os kits Lucid e Lighthouse. O Darcula é mais voltado para roubo de dados de cartões de crédito por meio de smishing, enquanto o CoGUI visa principalmente roubo de credenciais, embora não colete códigos de autenticação multifator.

Outro destaque é o surgimento do Panda Shop, um kit de smishing altamente personalizável que opera via canais do Telegram e bots automatizados. Ele foca em roubo de dados pessoais e bancários, se passando por marcas populares e serviços governamentais. Os dados capturados são vendidos em fóruns clandestinos e usados para fraudes financeiras. Segundo a empresa Resecurity, os grupos chineses por trás dessas operações agem com impunidade, ignorando leis internacionais por estarem fora do alcance de autoridades ocidentais.

Via - THN