- 27,630
- 46
- 8 Ноя 2022
Новая атака Payroll Pirate удивляет своей дерзостью даже опытных специалистов.
Зарплатные системы редко попадают в центр внимания до тех пор, пока одна правка в реквизитах не превращает обычную выплату в прямой перевод мошенникам. Специалисты BushidoToken Threat Intel описали новую финансово мотивированную кампанию Payroll Pirate, в которой злоумышленники обходят многофакторную аутентификацию и перенаправляют зарплатные платежи через захват уже подтверждённых сессий.
Целями становятся порталы для расчёта зарплат и кадровые системы средних и крупных компаний. Атака начинается с подготовки, во время которой преступники ищут сотрудников бухгалтерии и HR через открытые источники, корпоративные страницы вакансий и <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. Затем жертвам отправляют фишинговые письма , похожие на уведомления от легитимных зарплатных сервисов. В отдельных случаях для убедительности используют голосовые сообщения или SMS с имитацией реального запроса.
Ключевую роль играет схема Adversary-in-the-Middle (AiTM) . Злоумышленники размещают промежуточный фишинговый узел между сотрудником и настоящим сервисом, поэтому одноразовые коды, MFA-подтверждения и данные входа проходят через инфраструктуру атакующих в реальном времени. Такой подход отличается от простого повторного ввода украденного кода, потому что преступники сразу создают действующую сессию с удалённого устройства.
Получив доступ, операторы Payroll Pirate быстро меняют платёжные реквизиты, добавляют подставных получателей, правят реквизиты для зарплатных переводов или запускают внеплановые выплаты. По данным специалистов, преступники предпочитают период перед расчётом зарплат и небольшие выплаты, чтобы не попасть под простые пороговые правила мониторинга.
После перевода атакующие стараются замести следы. Они переименовывают фиктивных получателей, удаляют уведомления, архивируют журналы через доступные функции приложения и возвращают часть видимых настроек назад. Деньги затем проводят через цепочки дропов и криптовалютные площадки , что усложняет возврат средств и поиск организаторов.
Авторы отчёта советуют снижать риск не только за счёт MFA . Администраторам зарплатных систем стоит включить устойчивую к фишингу многофакторную аутентификацию, использовать аппаратные ключи, требовать дополнительное подтверждение при смене реквизитов и вводить двойное согласование рискованных выплат. Также нужно хранить неизменяемые журналы аудита и отслеживать признаки AiTM.
Зарплатные системы редко попадают в центр внимания до тех пор, пока одна правка в реквизитах не превращает обычную выплату в прямой перевод мошенникам. Специалисты BushidoToken Threat Intel описали новую финансово мотивированную кампанию Payroll Pirate, в которой злоумышленники обходят многофакторную аутентификацию и перенаправляют зарплатные платежи через захват уже подтверждённых сессий.
Целями становятся порталы для расчёта зарплат и кадровые системы средних и крупных компаний. Атака начинается с подготовки, во время которой преступники ищут сотрудников бухгалтерии и HR через открытые источники, корпоративные страницы вакансий и <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. Затем жертвам отправляют фишинговые письма , похожие на уведомления от легитимных зарплатных сервисов. В отдельных случаях для убедительности используют голосовые сообщения или SMS с имитацией реального запроса.
Ключевую роль играет схема Adversary-in-the-Middle (AiTM) . Злоумышленники размещают промежуточный фишинговый узел между сотрудником и настоящим сервисом, поэтому одноразовые коды, MFA-подтверждения и данные входа проходят через инфраструктуру атакующих в реальном времени. Такой подход отличается от простого повторного ввода украденного кода, потому что преступники сразу создают действующую сессию с удалённого устройства.
Получив доступ, операторы Payroll Pirate быстро меняют платёжные реквизиты, добавляют подставных получателей, правят реквизиты для зарплатных переводов или запускают внеплановые выплаты. По данным специалистов, преступники предпочитают период перед расчётом зарплат и небольшие выплаты, чтобы не попасть под простые пороговые правила мониторинга.
После перевода атакующие стараются замести следы. Они переименовывают фиктивных получателей, удаляют уведомления, архивируют журналы через доступные функции приложения и возвращают часть видимых настроек назад. Деньги затем проводят через цепочки дропов и криптовалютные площадки , что усложняет возврат средств и поиск организаторов.
Авторы отчёта советуют снижать риск не только за счёт MFA . Администраторам зарплатных систем стоит включить устойчивую к фишингу многофакторную аутентификацию, использовать аппаратные ключи, требовать дополнительное подтверждение при смене реквизитов и вводить двойное согласование рискованных выплат. Также нужно хранить неизменяемые журналы аудита и отслеживать признаки AiTM.
- Источник новости
- www.securitylab.ru
