Uma nova campanha de cibercrime tem explorado mecanismos de busca como o Google para enganar funcionários que acessam portais de folha de pagamento, redirecionando seus salários para contas bancárias de hackers. A descoberta foi feita por analistas da ReliaQuest em maio de 2025, após ataques a uma empresa do setor de manufatura.
Segundo os especialistas, o golpe começa quando colaboradores digitam no Google o nome do portal de pagamento de sua empresa. Nesses momentos, anúncios patrocinados levam a sites falsos que imitam o login da companhia. Quando acessados por dispositivos móveis, esses links redirecionam para páginas de phishing disfarçadas como portais da Microsoft.
Esses sites maliciosos coletam as credenciais digitadas e as enviam imediatamente aos cibercriminosos por meio de conexões WebSocket e notificações push, utilizando plataformas como o Pusher. Com os dados em mãos, os golpistas acessam os sistemas reais da empresa e modificam as informações de depósito, desviando os pagamentos para suas próprias contas.
Alvo: Dispositivos móveis e segurança limitada
O foco nos dispositivos móveis não é acidental. Celulares corporativos e pessoais, geralmente menos protegidos do que computadores de escritório, dificultam a detecção e a investigação desses ataques. Além disso, o tráfego gerado pelos hackers é disfarçado como se viesse de redes residenciais ou móveis, dificultando ainda mais a identificação.
A ReliaQuest observou que a infraestrutura maliciosa utiliza roteadores comprometidos — especialmente de marcas como ASUS e Pakedge — infectados com malwares e transformados em bots proxy. Esses dispositivos são explorados com falhas conhecidas ou configurações inseguras, como senhas padrão.
Essas redes de proxy oferecem aos atacantes a capacidade de simular logins vindos da mesma região geográfica da empresa-alvo, burlando ferramentas que detectam acessos incomuns.
Panorama maior de ameaças
Esse caso se soma a outras campanhas em andamento. Um exemplo recente envolve páginas falsas do serviço Adobe Shared File que visam contas do Outlook. Há também o sofisticado kit de phishing CoGUI, voltado contra instituições no Japão, incluindo grandes marcas como Apple e Rakuten, com milhões de e-mails fraudulentos enviados no início de 2025.
O CoGUI emprega táticas avançadas de evasão como geofencing e fingerprinting, dificultando a detecção por sistemas automatizados. Acredita-se que ele esteja ligado ao ecossistema PhaaS (phishing como serviço) chinês Smishing Triad, que inclui outras ameaças como Darcula e Lucid.
Smishing e o crime organizado digital
Outro ator emergente nesse cenário é o Panda Shop, uma plataforma de smishing personalizável identificada pela Resecurity. Ela opera via Telegram e oferece kits para enganar usuários imitando serviços populares, como carteiras digitais e plataformas governamentais.
O Panda Shop utiliza contas comprometidas da Apple e Gmail para distribuir campanhas de smishing via iMessage e Android RCS. O objetivo é obter dados pessoais e financeiros, como números de cartões de crédito, que são vendidos em mercados clandestinos.
Segundo a Resecurity, essas operações são conduzidas por cibercriminosos baseados na China, que operam abertamente por se considerarem fora do alcance das autoridades ocidentais.
Recomendações de proteção
Para se proteger, organizações devem:
- Priorizar a segurança em dispositivos móveis com soluções de EDR.
- Monitorar anúncios patrocinados que aparecem em buscas com nomes da empresa.
- Implementar autenticação multifator (MFA) com monitoramento em tempo real.
- Atualizar firmware de roteadores corporativos e residenciais.
O cenário mostra como os cibercriminosos estão cada vez mais organizados e estratégicos, aproveitando brechas tecnológicas e comportamentais para obter lucros altos com mínima exposição.
