Payroll Pirates, la operación de malvertising que quiere tu nómina

Los piratas de la nómina (Payroll Pirates) actuaron por primera vez en mayo de 2023 y desde entonces su actividad ha cesado y ha vuelto a surgir, cada vez con mayores capacidades y también con objetivos más amplios. El punto de partida de la red son las campañas de publicidad maliciosa con las que han logrado afectar a más de 200 portales corporativos y a más de medio millón de víctimas potenciales.

Check Point Software explica que, cuando retomaron su actividad a mediados de 2024, las páginas de phishing “se habían rediseñado con elementos dinámicos capaces de sortear la autenticación multifactor” y además interactuaban en tiempo real con las víctimas mediante bots de Telegram, “solicitando códigos de verificación y respuestas de seguridad”. Este mes de septiembre hubo otro repunte de actividad, pasando de las nóminas a sectores como servicios financieros o salud.

La compañía explica que utilizan dos clústeres con técnicas diferenciadas pero complementarias. Por un lado, ser sirven de Google y redirecciones encubiertas, con dominios alojados en proveedores de Kazajistán y Vietnam; por otro, utilizan Bing Ads y dominios antiguos con decenas de páginas de phishing con URL aleatorias y servicios de ocultación, una estrategia dirigida en particular a instituciones financieras.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, considera que se trata de “una operación que combina ingeniería social avanzada con la automatización propia del malvertising. El uso de anuncios patrocinados y dominios legítimos dificulta enormemente la detección por parte de los filtros tradicionales. Es un ejemplo claro de cómo los ciberdelincuentes explotan la confianza de los usuarios para obtener beneficios económicos directos”.