Исследователи Proofpoint предупреждают, что киберпреступники используют взломанные счета PayPal, чтобы рассылать спам, содержащий ссылку на банковский троян Chthonic. Злоумышленники использовали услугу PayPal «request money». Таким образом, пользователи получали на email письмо с темой «You’ve got a money request», которое не вызывало никаких подозрений, так как было отправлено PayPal.
По словам Proofpoint, вряд ли эти письма попадут в спам-фильтры, так как по факту они не были подделаны. Было замечено, что письма свободно доходят до ящиков Gmail. Исследователи не уверены, автоматизирован ли процесс рассылки спама или же он выполняется вручную.
Само письмо содержит информацию о том, что на счет пользователя был сделан перевод в размере $100, и что эти деньги должны быть возвращены. В письме также содержится короткая Goo.gl ссылка, ведущая на скриншот, на котором описаны детали ошибочной транзакции. Мошенники используют социальную инженерию, чтобы заставить пользователя перейти по ссылке.
«Функция запроса денег в PayPal позволяет также добавлять заметки вместе с запросом, так злоумышленник добавляет вредоносную ссылку. Пользователь может попасться на социальную инженерию и потерять $100, может перейти по вредоносной ссылке и заразить компьютер вредоносной программой, а могут сработать оба варианта» - Proofpoint.
Короткая Goo.gl-ссылка в письме перенаправляет пользователя на katyaflash[.]com/pp.php, далее на компьютер жертвы загружается обфусцированный JavaScript –файл под именем paypalTransactionDetails.jpeg.js. Если пользователь запускает этот .js-файл, на его компьютер загружается уже исполняемый файл из wasingo[.]info/2/flash.exe.
Этот исполняемый файл является банковским трояном Chthonic, еще одним вариантом печально известного вредоноса Zeus. Образец Chthonic, использующийся в этом примере подключается к командному центру kingstonevikte[.]com. Кроме того, оказалось, что вредонос дополнительно загружает на компьютер жертвы ранее неописанную вредоносную программу «AZORult».
Специалисты подчеркивают, что масштабы этой вредоносной кампании относительно небольшие, вредоносная ссылка была нажата только пару десятков раз на момент доклада Proofpoint. Исследователи также уведомили PayPal.
Исследователи из сообщества DomainTools Investigations (DTI) выявили десяток новых доменов .TOP, используемых для распространения Android-трояна SpyNote. Находки имитируют страницы Google Play Store для скачивания различных приложений.
Фальшивки оформлены на английском либо китайском языке. В кодах сайтов и самого зловреда обнаружены синоязычные комментарии.
Поддельные страницы содержат карусель изображений, которые при клике загружают на устройство визитера APK — дроппер, сбрасывающий SpyNote.
При установке вредонос запрашивает множество разрешений, которые нужны ему для кражи данных (геолокации, контактов, журнала звонков, СМС, файлов), включения камеры и микрофона, манипуляции вызовами и выполнения команд.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
