Pesquisas por portais de folha de pagamento no Google estão sendo exploradas por cibercriminosos para desviar salários de funcionários. Uma campanha descoberta em maio de 2025, inicialmente contra uma empresa do setor industrial, usa técnicas de SEO malicioso para exibir sites falsos no topo dos resultados de busca. Ao clicar nesses links patrocinados, os usuários são redirecionados para páginas de phishing que imitam o portal de login da empresa, principalmente em dispositivos móveis.

Essas páginas falsas roubam credenciais e estabelecem uma conexão WebSocket para notificar os hackers em tempo real, permitindo que invadam rapidamente o sistema e alterem os dados bancários para onde os salários são depositados. O ataque é especialmente eficaz por ocorrer em dispositivos móveis, que geralmente não contam com medidas de segurança corporativa, e por acontecer fora da rede da empresa, dificultando a detecção. Os criminosos usam roteadores domésticos e redes móveis comprometidas para disfarçar o tráfego malicioso, explorando falhas e credenciais padrão.

Esses dispositivos infectados formam redes de proxy, dificultando ainda mais a rastreabilidade. O tráfego simula vir da mesma região da empresa alvo, contornando sistemas que identificam acessos suspeitos. O caso ocorre enquanto outras campanhas de phishing avançadas, como CoGUI e Panda Shop, se proliferam, ambas ligadas a grupos cibercriminosos chineses especializados em smishing e venda de dados roubados. Esses kits usam técnicas de evasão sofisticadas e têm como alvo usuários de marcas populares e serviços financeiros.