Telegram-боты теперь выманивают коды 2FA. Payroll Pirates вернулись и показали, что идеальный фишинг уже здесь

Сеть под названием Payroll Pirates действует уже несколько лет и представляет собой организованную структуру, которая продвигает фишинговые страницы через рекламные площадки и охватывает самые разные отрасли. Масштаб вырос до сотен целевых интерфейсов и сотен тысяч переходов, а вся архитектура распределена между несколькими кластерами и операторами, работающими по единому сценарию. Система выстроена так, чтобы обман выглядел максимально правдоподобно, а перехват данных происходил практически незаметно.

Первая волна началась весной 2023 года, когда исследователи Check Point обратили внимание на фишинговые сайты, маскирующиеся под популярные HR-порталы. Они рекламировались в Google Ads и были направлены на тех, кто входил в личные кабинеты для управления зарплатой. После ввода реквизитов злоумышленники перенаправляли выплаты на свои счета. Инфраструктура при этом состояла из отдельных групп доменов, собственных каналов в Telegram и схожих комплектов скриптов, что указывало либо на общий источник инструментов, либо на модель, при которой разные исполнители используют один и тот же набор технических решений. К ноябрю 2023 года активность снизилась, однако кампания не завершилась.

Через несколько месяцев сеть вернулась уже с обновлённым набором страниц, которые научились подстраиваться под требования двухфакторной проверки. Операторы подключали Telegram-ботов, чтобы взаимодействовать с жертвами в реальном времени, запрашивая одноразовые коды и дополнительные ответы. Серверная часть была переработана: вместо прямых точек передачи данных применялись незаметные скрипты вроде xxx.php и check.php, что усложняло выявление и блокировку. В результате инфраструктура стала более скрытной и устойчивой к вмешательству.

Вскоре появилось подтверждение того, что область интересов расширилась. В августе 2024 года Malwarebytes описала схожие признаки атак на крупную торговую сеть, а в декабре SilentPush указала на аналогичные методы при работе против кредитных союзов и торговых платформ. Осенью 2025 года всплеск тематических запросов привёл к возобновлению анализа. Из-за ошибки оператора исследователи Check Point получили доступ к части внутренней структуры и обнаружили единый Telegram-бот, через который проходили данные для всех типов целей — от финансовых сервисов до медицинских порталов. Это доказало, что речь идёт не о наборе похожих комплектов, а о полноценной централизованной сети.

Журналы активности показали как минимум четырёх администраторов. Один из них выкладывал видео с побережья в районе Одессы, а также состоял в нескольких региональных группах, связанных с Днепром. Это позволило предположить, что часть операторов находилась на территории Украины.

Работа строится на двух основных кластерах. Первый использует Google Ads и систему скрытия переходов. Для прохождения модерации создаются безобидные страницы, которые после активации перенаправляют пользователей на фишинговые копии. Нередко такие домены регистрируются партиями, а размещение происходит у провайдеров в Казахстане и Вьетнаме. Второй кластер действует через Microsoft Ads и держится на заранее подготовленных доменах, которые созревают несколько месяцев. На них размещаются десятки страниц с рандомизированными адресами, а сервис adspect.ai определяет, какую версию показать в зависимости от характеристик браузера.

Несмотря на различия в рекламных каналах, оба направления используют одинаковые комплекты скриптов. Страницы динамически адаптируются к подсказкам операторов, что упрощает обход методов подтверждения входа. Имена файлов в наборах повторяются от версии к версии: xxx.php, analytics.php, check.php. Новые версии применяют обфусцированный JavaScript, скрывающий передачу данных. Рекламные аккаунты проходят проверку и иногда сопровождаются легитимными кампаниями. Операторы выходят в сеть через американские IP-адреса и маршрутизаторы с открытой поддержкой PPTP, вероятно приобретённые в составе готового списка прокси. Один из администраторов пытался получить совет в техническом чате по прокси-сервисам, что косвенно подтвердило характер используемой инфраструктуры.

Несмотря на скрытность, кампания продолжает оставлять следы. Защититься помогает наблюдение за рекламными сетями, контроль сомнительных объявлений, использование стойких методов подтверждения действий, развёртывание ловушек для отслеживания несанкционированной активности и блокировка фальшивых страниц по мере их появления. Сеть Payroll Pirates создавалась как платформа, способная адаптироваться и развиваться, но внимательно настроенный мониторинг лишает её главного преимущества — незаметности.