Специалистами компании Proofpoint зафиксирована вредоносная кампания, в рамках которой для распространения банковской троянской программы Chthonic применялся платежный сервис PayPal. Киберпреступники пользуются взломанными или новыми аккаунтами PayPal, чтобы от имени администрации сервиса рассылать электронные сообщения, в которых содержится просьба вернуть деньги, отправленные на счет по ошибке.
В уведомлении указано, что 100 долларов были случайно зачислены на счет пользователя, который должен вернуть эти средства. В сообщениях была вложенная ссылка на скриншот, который вероятно является демонстрацией подробностей ошибочной транзакции. В действительности ссылка, которая была включена в письмо, осуществляет переадресацию пользователя на страницу katyaflash[.]com/pp.php, откуда производится загрузка на компьютер обфусцированного JavaScript-файла paypalTransactionDetails.jpeg.js. При открытии файла происходит загрузка на устройство одного из вариантов Zeus – банковской троянской программы Chthonic. После проникновения в систему, троянская программа выходит на связь с C&C-сервером и загружает AZORult, не известную до этого момента разновидность вредоносного программного обеспечения.
Эксперты Proofpoint подчеркивают, что услуга запроса средств в PayPal дает возможность вложить в запрос уведомление, в которое злоумышленник может поместить вредоносную ссылку или личное сообщение. Таким образом, хакерами используется двойная схема: пользователь может потерять 100 долларов, или загрузить банковскую троянскую программу на свой компьютер.
При этом масштабы вредоносной кампании нельзя назвать большими. Исследователи утверждают, что зафиксировано лишь 27 переходов по вредоносной ссылке. Специалисты уже проинформировали PayPal о сложившейся ситуации.