网络威胁悄然而至

网络威胁并不总是带有预警信号。有时，它们以赞助广告的形式出现。自2023年中以来，一个以经济利益为动机的网络一直在悄悄地劫持美国的薪资系统、信用合作社和交易平台。他们的方法？恶意广告。他们的目标？金钱。他们的名字？薪资海盗。

这并非一次性活动，而是一个随着时间的推移在技术、战术和地理位置上不断演变的协调行动。它已经针对超过200个接口，并诱骗了超过50万用户。

始于Google广告

2023年5月，Check Point外部风险管理研究人员开始追踪冒充薪资平台的钓鱼网站。这些网站通过Google广告推广，针对登录HR门户的员工。一旦凭证被盗，攻击者将工资重定向到自己的账户。

基础设施被分成多个集群。每个集群都有自己的域名、Telegram频道和外泄方法。但工具包几乎相同，这表明它们有共同的来源，或者是多个操作者使用相同工具的市场模式。

到2023年11月，该活动暂时沉寂，但并未结束。

更智能的回归

2024年6月，该网络带着升级的工具包回归。钓鱼页面现在包含可以绕过双因素认证（2FA）的动态元素。操作者使用Telegram机器人与受害者实时互动，请求一次性代码和安全答案。

后端被重新设计。工具包不再暴露外泄端点，而是使用像xxx.php和check.php这样的脚本与操作者静默通信。这使得基础设施更难检测，几乎无法破坏。

不止于薪资

到2024年8月，Malwarebytes报告了对一家主要零售商使用的类似策略。12月，SilentPush对同一网络进行了深入分析，确认其已扩展到信用合作社和交易平台。

2025年9月，跟踪到的关键词活动出现显著峰值。因此，对钓鱼活动的调查重新启动。由于操作安全失败，Check Point的外部风险管理研究团队能够获得对该网络的某些可见性。团队发现一个单一的Telegram机器人正在协调所有不同目标类型的2FA反馈——信用合作社、薪资、医疗福利、交易平台等。这表明所有报告都指向同一网络，而不是共享的钓鱼工具包。

这不仅仅是共享工具包，而是一个统一的网络。

日志显示至少有四名管理员，每人管理不同的目标频道。一名操作者发布了黑海敖德萨附近海岸的视频，暗示了物理位置。同一操作者还是多个专注于第聂伯罗（另一个乌克兰城市）的群组成员，这表明至少部分操作者当时位于乌克兰。

两个集群，一个目标

该网络在两个主要集群中运行：

集群1：Google广告 + 重定向伪装 此方法使用"白页"通过广告审核。这些页面看起来无害，但在激活时将受害者重定向到钓鱼网站。托管通常通过哈萨克斯坦和越南的提供商进行，域名批量注册。

集群2：Bing广告 + 老域名 此集群使用Microsoft广告针对金融机构。域名已注册数月，并托管数十个带有随机URL的钓鱼页面。来自adspect.ai的伪装服务根据浏览器指纹确定显示哪个页面。

两个集群使用相同的钓鱼工具包。页面根据操作者反馈动态调整，使其易于绕过大多数认证方法。

基础设施洞察

工具包遵循一致的命名模式：xxx.php、analytics.php、check.php。一些较新版本使用混淆的JavaScript（script.js）来隐藏其外泄逻辑。

广告账户经过验证，并经常运行看似合法的活动。操作者使用美国住宅IP和带有开放PPTP的路由器，可能是购买的代理列表的一部分。一名管理员被发现在代理支持频道上寻求帮助。

应对措施

此活动仍在进行中。以下是保持领先的方法：

• 监控广告网络中针对员工门户和金融服务的可疑活动
• 对敏感操作使用防钓鱼认证——如带有上下文的确认邮件
• 向相关提供商报告欺诈广告和托管滥用
• 部署蜜罐账户以收集威胁情报并标记可疑行为

薪资海盗网络不仅持久，而且具有适应性。它旨在扩展、隐藏和获胜。但它并非不可见。凭借正确的工具、正确的洞察和正确的警惕，我们可以在他们触及薪资之前破坏他们的操作。

关于Check Point外部风险管理

Check Point的外部风险管理解决方案旨在在像薪资海盗这样的威胁造成损害之前发现它们。通过持续监控广告网络、凭证滥用以及开放网络、深层网络和暗网上的基础设施变化，团队可以在最早阶段检测钓鱼活动。平台跨多个集群（广告、域名、Telegram活动等）关联指标的能力有助于将不同的攻击链接到单一网络。这就是我们快速行动、破坏基础设施并保护组织免受凭证盗窃和薪资欺诈的方式。

请在此处查看完整报告以获取技术细节、入侵指标和建议。