14/11/25
Сеть под названием Payroll Pirates действует уже несколько лет. Масштаб вырос до сотен целевых интерфейсов и сотен тысяч переходов, а вся архитектура распределена между несколькими кластерами и операторами, работающими по единому сценарию. Система выстроена так, чтобы обман выглядел максимально правдоподобно, а перехват данных происходил практически незаметно.
Первая волна началась весной 2023 года, когда исследователи Check Point обратили внимание на фишинговые сайты, маскирующиеся под популярные HR-порталы, пишет Securitylab. Они рекламировались в Google Ads и были направлены на тех, кто входил в личные кабинеты для управления зарплатой. После ввода реквизитов злоумышленники перенаправляли выплаты на свои счета. Инфраструктура при этом состояла из отдельных групп доменов, собственных каналов в Telegram и схожих комплектов скриптов, что указывало либо на общий источник инструментов, либо на модель, при которой разные исполнители используют один и тот же набор технических решений. К ноябрю 2023 года активность снизилась, однако кампания не завершилась.
Через несколько месяцев сеть вернулась уже с обновлённым набором страниц, которые научились подстраиваться под требования двухфакторной проверки. Операторы подключали Telegram-ботов, чтобы взаимодействовать с жертвами в реальном времени, запрашивая одноразовые коды и дополнительные ответы. Серверная часть была переработана: вместо прямых точек передачи данных применялись незаметные скрипты вроде xxx.php и check.php, что усложняло выявление и блокировку. В результате инфраструктура стала более скрытной и устойчивой к вмешательству.
Вскоре появилось подтверждение того, что область интересов расширилась. В августе 2024 года Malwarebytes описала схожие признаки атак на крупную торговую сеть, а в декабре SilentPush указала на аналогичные методы при работе против кредитных союзов и торговых платформ. Осенью 2025 года всплеск тематических запросов привёл к возобновлению анализа. Из-за ошибки оператора исследователи Check Point получили доступ к части внутренней структуры и обнаружили единый Telegram-бот, через который проходили данные для всех типов целей — от финансовых сервисов до медицинских порталов. Это доказало, что речь идёт не о наборе похожих комплектов, а о полноценной централизованной сети.
Журналы активности показали как минимум четырёх администраторов. Один из них выкладывал видео с побережья в районе Одессы, а также состоял в нескольких региональных группах, связанных с Днепром. Это позволило предположить, что часть операторов находилась на территории Украины.
Взломы происходят двумя основными путями. Первый использует Google Ads и систему скрытия переходов. Для прохождения модерации создаются безобидные страницы, которые после активации перенаправляют пользователей на фишинговые копии. Нередко такие домены регистрируются партиями, а размещение происходит у провайдеров в Казахстане и Вьетнаме. Второй кластер действует через Microsoft Ads и держится на заранее подготовленных доменах, которые созревают несколько месяцев. На них размещаются десятки страниц с рандомизированными адресами, а сервис adspect.ai определяет, какую версию показать в зависимости от характеристик браузера.
