Payroll Pirates атакуют через Telegram

Организованная сеть Payroll Pirates, действующая несколько лет, вывела фишинг на новый уровень. Через рекламные площадки она продвигает сотни фишинговых страниц, маскирующихся под HR-порталы и другие сервисы. Вся архитектура распределена между операторами, работающими по единому сценарию, что делает атаки масштабными и правдоподобными.

Атаки начались весной 2023 года, когда злоумышленники через Google Ads заманивали пользователей на поддельные сайты для управления зарплатой и перехватывали реквизиты. После затишья сеть вернулась с обновленной тактикой, научившись обходить двухфакторную аутентификацию. Для этого операторы начали использовать Telegram-ботов, которые в реальном времени выманивали у жертв одноразовые коды.

Исследователи обнаружили, что это не разрозненные атаки, а централизованная сеть. Благодаря ошибке оператора им удалось получить доступ к внутренней структуре и выявить единого Telegram-бота, через который проходят данные от самых разных целей — от финансовых сервисов до медицинских порталов. Журналы активности указали на нескольких администраторов, часть из которых, вероятно, находится на территории Украины.

Работа сети построена на двух кластерах. Первый использует Google Ads и систему скрытия переходов, когда безобидные страницы после проверки перенаправляют на фишинг. Второй задействует Microsoft Ads и заранее подготовленные домены. Несмотря на разные каналы, оба используют одинаковые наборы скриптов, которые динамически адаптируются к подсказкам систем безопасности и применяют обфусцированный код для скрытой передачи данных.

Для защиты от таких угроз необходим комплексный подход: мониторинг рекламных сетей на предмет сомнительных объявлений, использование стойких методов аутентификации (например, аппаратных ключей), развертывание ловушек для отслеживания активности и оперативная блокировка фальшивых страниц. Хотя сеть Payroll Pirates создана для адаптации, тщательный мониторинг лишает ее главного преимущества — незаметности.