Desde março de 2025, um grupo de cibercriminosos identificado como Storm-2657 tem atacado funcionários de universidades nos Estados Unidos para sequestrar pagamentos salariais em golpes conhecidos como "pirate payroll".
Analistas da Microsoft Threat Intelligence que monitoram essa campanha detectaram que os criminosos têm como alvo contas da plataforma Workday.
No entanto, outras soluções terceirizadas de recursos humanos baseadas em SaaS (Software as a Service) também podem estar vulneráveis.
Segundo um relatório divulgado pela Microsoft nesta quinta-feira, foram identificadas 11 contas comprometidas em três universidades, usadas para enviar e-mails de phishing para quase 6.000 endereços em 25 instituições diferentes.
Vale destacar que, conforme a Microsoft, esses ataques não indicam falhas na plataforma Workday, mas sim a atuação de grupos motivados financeiramente que utilizam táticas sofisticadas de engenharia social.
Eles exploram a ausência total ou parcial de autenticação multifator (MFA) resistente a phishing para invadir as contas.
Os cibercriminosos adotam temas personalizados para cada vítima, como alertas falsos sobre surtos de doenças no campus ou denúncias de má conduta de professores, a fim de convencer os usuários a clicarem em links maliciosos.
Outros exemplos incluem e-mails que se passam pelo reitor da universidade, mensagens sobre benefícios e compensações, ou documentos falsificados supostamente compartilhados pelo setor de RH.
As invasões ocorrem por meio de e-mails com links do tipo adversary-in-the-middle (AITM), que capturam códigos MFA e concedem acesso às contas do Exchange Online.
Dentro das contas, os invasores configuram regras para deletar notificações do Workday, ocultando alterações importantes, como modificações nas configurações de pagamento salarial e redirecionamento dos valores para contas sob seu controle, possível graças ao acesso aos perfis Workday via single sign-on (SSO).
Além disso, os criminosos utilizam as contas invadidas para enviar ainda mais e-mails de phishing, tanto internamente nas instituições quanto para outras universidades.
Em alguns casos, eles registram seus próprios números de telefone como dispositivos MFA — por meio dos perfis do Workday ou configurações do Duo MFA — garantindo persistência no acesso e evitando a detecção, aprovando ações maliciosas diretamente em seus dispositivos.
A Microsoft já identificou clientes afetados e entrou em contato com alguns deles para auxiliar na mitigação desses ataques.
No relatório divulgado, a empresa recomenda que as instituições adotem autenticação multifator resistente a phishing e oferece orientações para investigar e bloquear essas campanhas.
Os chamados ataques "pirate payroll" são uma variação dos golpes de business email compromise (BEC), que visam empresas e pessoas que realizam pagamentos por transferência eletrônica regularmente.
Em 2024, o FBI, por meio do Internet Crime Complaint Center (IC3), recebeu mais de 21 mil denúncias de fraudes do tipo BEC, totalizando prejuízos superiores a US$ 2,7 bilhões — o segundo crime mais lucrativo após os golpes de investimento.
É importante ressaltar que esses números refletem apenas os casos reportados ou descobertos pela polícia, indicando que os prejuízos reais podem ser muito maiores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...