Пользователи PayPal стали жертвами социальной инженерии

28.07.2016

Вернуться к списку новостей

Исследователи компании Proofpoint обнаружили мошенническую активность в PayPal: пользователи платежной системы стали получать электронные письма с темой «You’ve got a money request» и сообщением о том, что на счет ошибочно поступили $100 и их следует вернуть.

Как отмечают эксперты, письмо не вызывает подозрений, поскольку отправляется непосредственно с PayPal. Для рассылки хакеры используют взломанные счета других пользователей системы, так что письма обходят спам-фильтры и успешно попадают в ящики Gmail.

Кроме запроса на возврат средств сообщение содержит ссылку на банковский троян Chthonic. Короткая Goo.gl-ссылка в письме перенаправляет пользователя на katyaflash[.]com/pp.php. После чего на компьютер жертвы загружается обфусцированный JavaScript в виде файла с именем paypalTransactionDetails.jpeg.js. Если пользователь запускает его, на компьютер загружается уже исполняемый файл из wasingo[.]info/2/flash.exe. Этот файл и является банковским трояном, разновидностью известного с 2007 года вредоноса Zeus.

В результате жертва либо теряет $100, попав под социальную инженерию, либо заражает компьютер вредоносом, перейдя по ссылке. С той же легкостью сработать могут и оба варианта. Пока эксперты не могу однозначно ответить, автоматизирована рассылка или хакеры работают вручную. Специалисты подчеркивают, что пока масштабы мошеннической кампании невелики: на момент доклада Proofpoint по вредоносной ссылке перешли всего несколько десятков пользователей.