Eine umfangreiche, KI-gestützte Kampagne nimmt gezielt Gehaltsabrechnungs- und Finanzplattformen ins Visier. Dahinter steckt kein loses Kollektiv einzelner Täter, sondern ein professionell organisiertes Cybercrime-Netzwerk, das aktuell aktiv ist.

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben ein ausgeklügeltes Cybercrime-Netzwerk enttarnt, das legitime Werbeplattformen missbraucht, um Opfer direkt in manipulierte Login-Portale zu locken. Die Gruppe, intern „Payroll Pirates “ genannt, attackiert seit Mitte 2023 Unternehmen weltweit mit gefälschten Gehaltsabrechnungs- und Finanzseiten, um Zugangsdaten zu stehlen und Gehaltszahlungen umzuleiten.

Wichtigste Erkenntnisse auf einen Blick

Weltweite Auswirkungen:

Mehr als 500.000 Menschen wurden durch Fake-Anzeigen auf täuschend echte Anmeldeportale von über 200 Organisationen geführt.

Ziele weit über Payroll hinaus:

Neben Gehaltsplattformen traf es Kreditgenossenschaften, Handels- und Gesundheitsportale sowie SaaS-Anbieter.

Einheitliche Kommandostruktur:

Gemeinsame Telegram-Bots, Proxy-Netze in Kasachstan, Vietnam und der Ukraine sowie identische Skripte zeigen klar: Es handelt sich um ein zentral gesteuertes Netzwerk – nicht um Einzeltäter.

Gut getarnt:

Die Angreifer nutzen Techniken wie White-Page-Cloaking, Geo-Fencing und Traffic-Umleitungen, um Sicherheitsprüfungen zu umgehen.

Ein neues Level professioneller Cyberkriminalität

Abbildung 1: Verseuchte Google Ad (Check Point Software Technologies Ltd.).

Was einst wie eine einfache Phishing-Welle über Google Ads aussah, hat sich zu einem KI-optimierten Malvertising-System entwickelt. Die Täter schalten bezahlte Anzeigen über verifizierte Werbekonten und leiten Nutzer auf gefälschte Payroll-Portale, die echten Firmenwebseiten nahezu identisch sehen. Gleichzeitig greifen Telegram-Bots in Echtzeit MFA-Codes oder Sicherheitsfragen ab. Dean Fenster, Security Researcher im External Risk Management von Check Point, fasst es so zusammen: „Diese Kampagne zeigt einen Wendepunkt. Angreifer müssen ihre Opfer nicht mehr suchen – sie sorgen dafür, dass die Opfer zu ihnen kommen. Die Payroll Pirates nutzen legitime digitale Ökosysteme, um selbst die vorsichtigsten Nutzer zu erreichen.“

So arbeiten die Payroll Pirates

Während der Analyse stießen die Forscher auf ein einziges, zentrales Bot-Netz, das die gesamte Operation steuert. Es bestehen zwei Haupt-Cluster:

Cluster 1: Google Ads

• Redirect-Cloaking über sogenannte „White Pages“
• Häufig gehostet über Anbieter in Asien

Cluster 2: Bing Ads

• Verwendung gealterter Domains
• Dynamisch generierte URLs
• Fokus auf Finanzinstitute

Abbildung 2: Angriffsmuster der Payroll Pirates (Check Point Software Technologies Ltd.)

Die Struktur ist klar: Die Payroll Pirates sind ein koordiniertes, unternehmerisch geführtes Cybercrime-Netzwerk, das seine Infrastruktur laufend optimiert, um Entdeckung und Abschaltung zu entgehen.

Was Unternehmen jetzt tun sollten

Die Kampagne läuft weiterhin. Unternehmen sollten ihre Schutzmaßnahmen sofort überprüfen:

• Anzeigen überwachen: Verdächtige Werbeanzeigen identifizieren, die auf Mitarbeiterportale oder Finanzdienste zielen.
• Phishing-resistente Authentifizierung einführen: Etwa FIDO2 oder kontextbezogene Bestätigungen.
• Betrügerische Anzeigen melden: An Werbenetzwerke und Hosting-Provider.
• Honeypots einsetzen: Um Frühwarnsignale und Bedrohungsinformationen zu sammeln.

Die Payroll Pirates sind flexibel, widerstandsfähig und skalierbar – aber nicht unsichtbar. Mit den richtigen Tools und Wachsamkeit lässt sich ihre Wirkung eindämmen.

Was diese Kampagne über die aktuelle Bedrohungslage verrät

Die Ermittlungen zeigen drei deutliche Trends:

1. Missbrauch großer Plattformen: Angreifer verlassen sich nicht mehr auf Fake-Domains – sie missbrauchen legitime Funktionen bekannter Plattformen wie Meta, um sofort glaubwürdig zu wirken.
2. Umgehung klassischer Sicherheitssysteme: Viele E-Mail-Sicherheitslösungen verlassen sich auf Domain-Reputation. Wenn jedoch echte Domains (z. B. facebookmail.com) genutzt werden, greifen diese Schutzmechanismen nicht mehr.
3. Offene Fragen an die Plattformbetreiber: Die Kampagne wirft die Frage auf, ob Tech-Konzerne genug tun, um Missbrauch ihrer Tools zu verhindern.

Abbildung 3: Überblick zum Vorgehen der Payroll Pirates (Check Point Software Technologies Ltd.)

Wie Nutzer und Unternehmen sich schützen können

• Nutzer schulen: Nicht nur gefälschte Domains erkennen – auch ungewöhnliche oder unpassende Anfragen hinterfragen.
• Fortschrittliche Erkennung nutzen: KI- und verhaltensbasierte Analysen einsetzen.
• MFA aktivieren: Selbst kompromittierte Anmeldedaten reichen dann nicht aus.
• Absender und Links prüfen: Auch bei vermeintlich legitimen E-Mails.
• Direkt zur Plattform gehen: Nicht auf Links in unerwarteten Nachrichten klicken.

Check Point hat seine Lösung SmartPhish bereits aktualisiert, um Meta-bezogene Phishing-Angriffe dieser Art zuverlässig zu erkennen und zu stoppen.