- Los piratas de nómina falsifican las plataformas de recursos humanos con anuncios para robar credenciales y códigos MFA
- Se atacaron más de 200 plataformas, lo que afectó a casi medio millón de usuarios.
- Los bots de Telegram permiten phishing en tiempo real, infraestructura que abarca Kazajstán, Vietnam y dominios encubiertos
Los expertos advierten que los estafadores están engañando a los sistemas de nómina, cooperativas de crédito y plataformas comerciales en todo Estados Unidos para robar credenciales de inicio de sesión y códigos de autenticación multifactor (MFA).
Los investigadores de ciberseguridad de Check Point han denominado a los delincuentes “piratas de nómina”, que anuncian portales de nómina y recursos humanos falsos utilizando anuncios publicados en redes populares como Google o Bing.
Cuando un empleado víctima busca la plataforma de su elección (en lugar de escribir la dirección en la barra de direcciones), verá el sitio falso promocionado en la parte superior. Aquellos que sin saberlo hicieron clic en el enlace e intentaron iniciar sesión efectivamente transmitieron sus credenciales a los atacantes.
Volviendo más fuerte
Con el tiempo, la operación se dirigió a más de 200 plataformas y atrajo a aproximadamente medio millón de usuarios, afirmaron los investigadores.
La campaña parecía estar inactiva a finales de 2023, pero regresó a mediados de 2024 con kits de phishing mejorados capaces de eludir la autenticación de dos factores.
Los operadores utilizan bots de Telegram para comunicarse con las víctimas en tiempo real, solicitando códigos de un solo uso y otras respuestas de seguridad. El backend de los kits fue rediseñado para ocultar las rutas de filtración de datos, lo que hace que la infraestructura sea mucho más difícil de detectar o desmantelar.
Debido a que el grupo opera dos grupos de infraestructura principales, Check Point cree que tiene múltiples campañas diferentes.
Uno utiliza anuncios de Google alojados en Kazajstán y Vietnam y redirecciones de “página blanca”, el otro se basa en anuncios de Bing filtrados a través de servicios de encubrimiento y dominios antiguos. Sin embargo, una investigación posterior determinó que era parte de una red única y unificada. Los registros muestran al menos cuatro administradores operando canales de Telegram vinculados a diferentes objetivos, como plataformas de nómina, cooperativas de crédito y portales de centros de atención médica.
Incluso encontraron a un administrador publicando un vídeo desde Odessa, concluyendo que al menos uno de los operadores tenía su base en Ucrania. Los piratas de nómina están activos, perfeccionan constantemente sus tácticas y apuntan a aquellos cuyos cheques de pago se publican en línea, advierte finalmente Check Point.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Para noticias, reseñas, unboxing en forma de videos y reciba nuestras actualizaciones periódicas WhatsApp muy
