Caçadores de ameaças expuseram uma nova campanha que faz uso de técnicas de envenenamento de Search Engine Optimization (SEO) para mirar dispositivos móveis de funcionários e facilitar a fraude de folha de pagamento.
A atividade, detectada pela primeira vez pela ReliaQuest em maio de 2025 visando um cliente não nomeado no setor de manufatura, é caracterizada pelo uso de páginas de login falsas para acessar o portal de folha de pagamento dos funcionários e redirecionar os cheques de pagamento para contas sob controle do ator de ameaça.
"A infraestrutura do atacante usou roteadores domésticos comprometidos e redes móveis para mascarar seu tráfego, driblando a detecção e desviando de medidas de segurança tradicionais," disse a empresa de cibersegurança em uma análise publicada na última semana.
"O adversário mirou especificamente em dispositivos móveis de funcionários com um site falso que se passava pela página de login da organização.
Armado com credenciais roubadas, o adversário obteve acesso ao portal de pagamento da organização, alterou informações de depósito direto e redirecionou os cheques de pagamento dos funcionários para suas próprias contas." Embora os ataques não tenham sido atribuídos a um grupo de hackers específico, a ReliaQuest disse que faz parte de uma campanha mais ampla e contínua, devido a dois incidentes semelhantes que investigou no final de 2024.
Tudo começa quando um funcionário procura pelo portal de folha de pagamento da empresa em mecanismos de busca como o Google, com websites enganosamente similares aparecendo no topo dos resultados por meio de links patrocinados.
Aqueles que acabam clicando nos links falsos são direcionados para um site WordPress que redireciona para uma página de phishing que mimetiza um portal de login da Microsoft ao ser visitado de um dispositivo móvel.
As credenciais inseridas na página de destino falsa são subsequentemente exfiltradas para um site controlado pelo atacante, enquanto também estabelece uma conexão WebSocket bidirecional com o objetivo de alertar o ator de ameaça sobre senhas roubadas usando uma API de notificações push fornecida pelo Pusher.
Isso dá aos atacantes a oportunidade de reutilizar as credenciais o mais rápido possível antes que sejam alteradas e ganhar acesso não autorizado ao sistema de pagamento.
Além disso, mirar em dispositivos móveis de funcionários oferece vantagens duplas, já que eles carecem de medidas de segurança de nível empresarial tipicamente disponíveis em computadores de mesa e se conectam fora da rede corporativa, efetivamente reduzindo a visibilidade e dificultando os esforços de investigação.
"Ao mirar em dispositivos móveis desprotegidos que carecem de soluções de segurança e registro, esta tática não apenas evita a detecção, mas também atrapalha os esforços para analisar o site de phishing," disse a ReliaQuest.
Isso impede que as equipes de segurança escaneiem o site e o adicionem a feeds de indicadores de comprometimento (IOC), complicando ainda mais os esforços de mitigação. Em uma tentativa adicional de evitar a detecção, descobriu-se que as tentativas de login maliciosas se originaram de endereços IP residenciais associados a roteadores de escritórios domésticos, incluindo os de marcas como ASUS e Pakedge.
Isso indica que os atores de ameaça estão explorando fraquezas como falhas de segurança, credenciais padrão ou outras configurações erradas frequentemente presentes nesses dispositivos de rede para lançar ataques de força bruta.
Os roteadores comprometidos são então infectados com malware que os inscreve em botnets proxy, que eventualmente são alugados para criminosos cibernéticos.
"Quando os atacantes usam redes proxy, especialmente aquelas vinculadas a endereços IP residenciais ou móveis, torna-se muito mais difícil para as organizações detectar e investigar," disse a ReliaQuest.
Ao contrário das VPNs, que muitas vezes são sinalizadas porque seus endereços IP foram abusados anteriormente, endereços IP residenciais ou móveis permitem que os atacantes passem despercebidos e evitem ser classificados como maliciosos.
Além disso, as redes proxy permitem que os atacantes façam seu tráfego parecer que se origina da mesma localização geográfica da organização-alvo, contornando medidas de segurança projetadas para sinalizar logins de localizações incomuns ou suspeitas.
A divulgação acontece enquanto a Hunt.io detalhou uma campanha de phishing que emprega uma página web falsa do serviço Adobe Shared File para roubar credenciais de login do Microsoft Outlook sob o pretexto de permitir acesso a arquivos supostamente compartilhados por um contato.
As páginas, segundo a empresa, são desenvolvidas usando o kit de phishing W3LL.
Isso também coincide com a descoberta de um novo kit de phishing codinome CoGUI que está sendo usado para visar ativamente organizações japonesas, se passando por marcas conhecidas de consumo e finanças como Amazon, PayPay, MyJCB, Apple, Orico e Rakuten.
Cerca de 580 milhões de e-mails foram enviados entre janeiro e abril de 2025 como parte de campanhas usando o kit.
"CoGUI é um kit sofisticado que emprega técnicas avançadas de evasão, incluindo geofencing, fencing de headers e fingerprinting para evitar detecção por sistemas de navegação automatizados e sandboxes," disse a firma de segurança empresarial Proofpoint em uma análise divulgada este mês.
O objetivo das campanhas é roubar nomes de usuários, senhas e dados de pagamento. Os e-mails de phishing observados nos ataques incluem links que levam a sites de phishing para credenciais.
Dito isso, é notável que as campanhas CoGUI não incluem capacidades para coletar códigos de autenticação multifator (MFA).
CoGUI é dito ter sido colocado em uso desde pelo menos outubro de 2024 e acredita-se que compartilhe algumas semelhanças com outro kit de phishing bem conhecido codinome Darcula – sugerindo que o primeiro possa fazer parte do mesmo ecossistema chinês PhaaS apelidado de Smishing Triad que também inclui Lucid e Lighthouse.
Dito isso, um aspecto crucial que separa Darcula do CoGUI é que o primeiro está mais focado em mobile e smishing e visa roubar detalhes de cartões de crédito.
"Darcula está se tornando mais acessível, tanto em termos de custo quanto de disponibilidade, então poderia representar uma ameaça significativa no futuro," disse PRODAFT em uma declaração.
Por outro lado, Lucid continua a passar despercebido.
Permanece desafiador identificar kits de phishing apenas olhando para mensagens SMS ou padrões de URL, pois eles costumam usar serviços comuns de entrega. Um novo kit de smishing personalizável que surgiu da paisagem de cibercrime chinês é o Panda Shop, que usa uma rede de canais do Telegram e bots interativos para automatizar a entrega de serviços.
As páginas de phishing são projetadas para imitar marcas populares e serviços governamentais para roubar informações pessoais.
Dados de cartões de crédito interceptados são enviados para lojas de carding subterrâneas e vendidos para outros criminosos cibernéticos.
"Notavelmente, os sindicatos de cibercriminosos chineses envolvidos em smishing são ousados porque se sentem intocáveis," disse a Resecurity.
Eles enfatizaram em suas comunicações que não se importam com as agências de aplicação da lei dos EUA.
Residindo na China, eles desfrutam de completa liberdade de ação e se envolvem em muitas atividades ilegais. A Resecurity, que identificou o Panda Shop em março de 2025, disse que o ator de ameaça opera um modelo de crime-as-a-service semelhante ao do Smishing Triad, oferecendo aos clientes a capacidade de distribuir mensagens de smishing via Apple iMessage e Android RCS usando contas Apple e Gmail comprometidas compradas em massa.
Acredita-se que o Panda Shop inclua membros do Smishing Triad com base nas semelhanças nos kits de phishing usados.
Uma pluralidade de atores de ameaças também foi observada aproveitando o kit de smishing para fraude do Google Wallet e Apple Pay.
"Os atores por trás das campanhas de smishing estão intimamente conectados com aqueles envolvidos em fraude de comerciante e atividade de lavagem de dinheiro," disse a Resecurity.
"Smishing é um dos principais catalisadores por trás das atividades de carding, fornecendo aos criminosos cibernéticos volumes substanciais de dados comprometidos coletados das vítimas."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...