- Payroll Pirates memalsukan platform SDM melalui iklan untuk mencuri kredensial dan kode MFA
- Lebih dari 200 platform menjadi sasaran dan berdampak pada sekitar setengah juta pengguna
- Bot Telegram memungkinkan phishing real-time, infrastruktur mencakup Kazakhstan, Vietnam, dan domain terselubung
Para penipu telah melakukan spoofing sistem penggajianserikat kredit, dan platform perdagangan di seluruh AS dalam upaya mencuri kredensial login dan kode otentikasi multi-faktor (MFA), para ahli telah memperingatkan.
Peneliti keamanan siber dari Check Point menyebutkan nama pelakunya ‘Bajak Laut Penggajian‘, yang menggunakan iklan berbayar di jaringan populer seperti Google atau Bing untuk mengiklankan portal penggajian dan SDM palsu.
Ketika karyawan korban mencari platform pilihan mereka (daripada hanya mengetikkan alamat di bilah alamat), mereka akan melihat situs palsu dipromosikan di bagian atas. Mereka yang tanpa sadar mengeklik tautan tersebut dan mencoba masuk secara efektif menyampaikan kredensial mereka kepada para penyerang.
Kembali lebih kuat
Seiring waktu, operasi tersebut menargetkan lebih dari 200 platform dan memikat sekitar setengah juta pengguna, klaim para peneliti.
Kampanye ini tampaknya tidak aktif pada akhir tahun 2023, namun muncul kembali pada pertengahan tahun 2024 dengan perangkat phishing yang ditingkatkan yang mampu melewati otentikasi dua faktor.
Operator menggunakan bot Telegram untuk berinteraksi dengan korban secara real time, meminta kode satu kali dan jawaban keamanan lainnya. Backend kit juga didesain ulang untuk menyembunyikan jalur eksfiltrasi data, membuat infrastruktur lebih sulit dideteksi atau dibongkar.
Karena kelompok ini menjalankan dua klaster infrastruktur utama, Check Point percaya bahwa ini merupakan beberapa kampanye yang berbeda.
Yang satu menggunakan Google Ads dan pengalihan “halaman putih” yang dihosting di Kazakhstan dan Vietnam, sementara yang lain mengandalkan Iklan Bing dan domain lama yang disaring melalui layanan penyelubungan. Namun, penyelidikan selanjutnya menentukan bahwa ini semua adalah bagian dari satu jaringan yang terpadu. Catatan menunjukkan setidaknya ada empat administrator yang mengelola saluran Telegram terkait dengan target yang berbeda, seperti platform penggajian, credit unions, dan portal tunjangan kesehatan.
Mereka bahkan menemukan salah satu admin memposting video dari Odessa, menyimpulkan bahwa setidaknya salah satu operator berbasis di Ukraina. Bajak Laut Penggajian tetap aktif, terus-menerus menyempurnakan taktik mereka, dan menargetkan siapa pun yang gajinya berpindah ke online, Check Point akhirnya memperingatkan.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
