Hack Alerta

Payroll Pirates: rede usa malvertising e bots de Telegram para roubo em sistemas de folha

Por Redação Hack Alerta Publicado em 17/11/2025 20:01 Cyber ataques Tempo de leitura: 3 min

A operação Payroll Pirates explorou malvertising e páginas de phishing adaptativas para capturar credenciais de portais de folha e redirecionar salários; a investigação da Check Point aponta mais de 200 plataformas visadas e cerca de 500.000 usuários afetados, com uso de bots no Telegram para burlar 2FA.

Uma operação criminosa financeira chamada Payroll Pirates tem usado malvertising e páginas de phishing altamente adaptativas para capturar credenciais de portais de folha, segundo investigação da Check Point relatada na matéria.

Panorama e descoberta

Check Point identificou padrões inicialmente em maio de 2023. A campanha, conforme descrita, afetou mais de 200 plataformas diferentes e teria comprometido mais de 500.000 usuários ao longo da operação. O vetor principal é malvertising: anúncios patrocinados (reportados como Google Ads na matéria) redirecionam usuários para páginas falsas que imitam portais de RH e folha.

Vetor e técnica de exploração

Ao acessar o anúncio e entrar na página falsa, a vítima fornece credenciais que são imediatamente capturadas por scripts backend. A evolução mais preocupante relatada ocorreu em junho de 2024, quando os operadores passaram a usar bots no Telegram que permitem burlar autenticação multifator em tempo real: as credenciais e solicitações de códigos são encaminhadas a um operador via bot, que então solicita o código de verificação à vítima e o utiliza para concluir o acesso fraudulento.

Infraestrutura e evasão

Os kits de phishing descritos mudam dinamicamente os formulários com base nos controles presentes no portal legítimo (por exemplo, perguntas de segurança, verificação por e‑mail ou autenticação móvel). Para evitar detecção, os operadores empregam scripts ocultos com nomes simples como xxx.php, check.php e analytics.php, além de canais cifrados para comunicação com os controladores.

Impacto e setores afetados

Além de sistemas de folha, a campanha teria mirado credit unions, plataformas de trading, portais de benefícios de saúde e outros serviços relacionados a pagamento e compensação. O principal dano operacional é o redirecionamento de salários e o comprometimento de contas financeiras; a matéria relata mais de meio milhão de usuários afetados ao longo do período investigado.

Limites do relatório

A reportagem não fornece amostras de domínios, IoCs ou listas públicas de vítimas corporativas. Também não detalha intervenções de provedores de anúncios ou resultados legais contra os operadores. As conclusões decorrem da investigação e rastreamento da Check Point.

Mitigações práticas

  • Reforçar a validação de anúncios e monitorar tráfego para páginas de login oficiais;
  • Implementar proteção contra credential phishing (blocklists de domínios, validação de origem dos formulários e mitigação de clickjacking);
  • Aumentar conscientização entre funcionários sobre malvertising e checar URLs antes de inserir credenciais;
  • Adotar métodos de autenticação que reduzam a dependência de códigos de uso único entregues fora do canal controlado, e monitorar acessos para atividades anômalas em tempo real.

Fonte: Check Point (relatada em Cyber Security News).

Baseado em publicação original de Cyber Security News
Tags: #payroll-pirates #malvertising #phishing #telegram #2fa-bypass #check-point #credential-theft #payroll #financial-fraud
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar