Эксперты компании Proofpoint зафиксировали вредоносную кампанию, эксплуатирующую платежный сервис PayPal для распространения банковского трояна Chthonic. В ходе кампании злоумышленники используют взломанные или новые учетные записи PayPal для рассылки электронных сообщений якобы от администрации сервиса с просьбой вернуть ошибочно отправленные на счет деньги.

В сообщении указывается, что на счет пользователя случайно были переведены $100 и эти средства требуется вернуть. К уведомлению прикреплена ссылка на скриншот, предположительно демонстрирующий подробности ошибочной транзакции. На самом деле включенная в письмо ссылка перенаправляет пользователя на страницу katyaflash[.]com/pp.php, с которой на компьютер загружается обфусцированный javascript-файл с именем paypalTransactionDetails.jpeg.js. При его открытии на устройство загружается банковский троян Chthonic - один из вариантов вредоносного ПО Zeus. Оказавшись на системе, троян связывается с C&C-сервером и загружает ранее не известный вид вредоносного ПО - AZORult.

«Услуга запроса средств в PayPal позволяет прикреплять к запросу уведомление, в котором атакующий может разместить персональное сообщение или вредоносную ссылку. Здесь действует двойная схема - пользователь либо может стать жертвой обмана и лишиться $100, либо загрузить на свой компьютер банковский троян, или то и другое», - отмечают эксперты Proofpoint.

Масштаб вредоносной кампании совсем невелик. По данным исследователей, переход по вредоносной ссылке был совершен всего 27 раз. Эксперты уже уведомили компанию PayPal о проблеме.