Счета PayPal используются для распространения банковского трояна

Счета PayPal используются для распространения банковского трояна

Счета PayPal используются для распространения банковского трояна

Исследователи Proofpoint предупреждают, что киберпреступники используют взломанные счета PayPal, чтобы рассылать спам, содержащий ссылку на банковский троян Chthonic. Злоумышленники использовали услугу PayPal «request money». Таким образом, пользователи получали на email письмо с темой «You’ve got a money request», которое не вызывало никаких подозрений, так как было отправлено PayPal.

По словам Proofpoint, вряд ли эти письма попадут в спам-фильтры, так как по факту они не были подделаны. Было замечено, что письма свободно доходят до ящиков Gmail. Исследователи не уверены, автоматизирован ли процесс рассылки спама или же он выполняется вручную.

Само письмо содержит информацию о том, что на счет пользователя был сделан перевод в размере $100, и что эти деньги должны быть возвращены. В письме также содержится короткая Goo.gl ссылка, ведущая на скриншот, на котором описаны детали ошибочной транзакции. Мошенники используют социальную инженерию, чтобы заставить пользователя перейти по ссылке.

«Функция запроса денег в PayPal позволяет также добавлять заметки вместе с запросом, так злоумышленник добавляет вредоносную ссылку. Пользователь может попасться на социальную инженерию и потерять $100, может перейти по вредоносной ссылке и заразить компьютер вредоносной программой, а могут сработать оба варианта» - отмечает Proofpoint.

Короткая Goo.gl-ссылка в письме перенаправляет пользователя на katyaflash[.]com/pp.php, далее на компьютер жертвы загружается обфусцированный JavaScript –файл под именем paypalTransactionDetails.jpeg.js. Если пользователь запускает этот .js-файл, на его компьютер загружается уже исполняемый файл из wasingo[.]info/2/flash.exe.

Этот исполняемый файл является банковским трояном Chthonic, еще одним вариантом печально известного вредоноса Zeus. Образец Chthonic, использующийся в этом примере подключается к командному центру kingstonevikte[.]com. Кроме того, оказалось, что вредонос дополнительно загружает на компьютер жертвы ранее неописанную вредоносную программу «AZORult».

Специалисты подчеркивают, что масштабы этой вредоносной кампании относительно небольшие, вредоносная ссылка была нажата только пару десятков раз на момент доклада Proofpoint. Исследователи также уведомили PayPal.

Telegram сменил t.me на telegram.me после отключения домена из DNS

Telegram начал подменять короткие ссылки t.me на telegram.me после того, как домен t.me фактически вылетел из глобальной системы DNS. Его отключил не регистратор GoDaddy, а оператор всей доменной зоны .me — черногорская компания doMEn.

Проще говоря, адрес зарегистрирован, но для интернета его как будто больше нет. Согласно данным WHOIS, на которые обратил внимание пользователь «Хабра» denis-19, домен получил статус serverHold.

Почему домен отправили в цифровой нокаут, пока неизвестно. Telegram уже начал перестраиваться. Теперь при копировании ссылок на сообщения и публикации приложения выдают адреса формата telegram.me.

Старые ссылки t.me мессенджер все еще понимает и открывает внутри приложений, но в обычных браузерах они перестают работать по мере обновления DNS-кеша.

Под ударом могут оказаться не только ссылки на каналы. Проблемы грозят приглашениям в чаты, ботам, веб-версиям публикаций, аутентификации через Telegram, превью и адресам формата username.t.me.

Павел Дуров уже обратился к регистратору в X и потребовал объяснить происходящее.

Сам Telegram продолжает работать штатно. Но его самый узнаваемый короткий адрес внезапно отключили одним статусом в реестре, причём без публичных объяснений и сразу для всего мира.

RSS: Новости на портале Anti-Malware.ru