Νόμιμα μηνύματα που στέλνονται από την επίσημη διεύθυνση ηλεκτρονικού ταχυδρομείου της PayPal περιλαμβάνουν συνδέσεις που ανακατευθύνουν τους χρήστες σε μια ιστοσελίδα που διανέμει το Chthonic, μια νεότερη παραλλαγή του περίφημου Zeus Banking Trojan.
Η πηγή του προβλήματος αυτού ξεκινά από ένα χαρακτηριστικό της PayPal που επιτρέπει στους χρήστες να ζητούν χρήματα από τους άλλους χρήστες.
Ο αιτών μπορεί να συμπληρώσει μια φόρμα, εισάγοντας την PayPal διεύθυνση email ενός άλλου χρήστη, το ποσό που θέλει να μεταφέρει και ένα custom μήνυμα.
Η PayPal τότε παίρνει όλα αυτά τα δεδομένα και τα στέλνει στο πρόσωπο από το οποίο ζητούνται τα χρήματα. Το πρόβλημα εδώ είναι ότι όλα αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προέρχονται από την επίσημη διεύθυνση ηλεκτρονικού ταχυδρομείου της PayPal και οι χρήστες μπορεί να αργήσουν να καταλάβουν ότι κάτι δεν πάει καλά.
Οι απατεώνες αξιοποιούν το τελευταίο προσαρμοσμένο πεδίο στην αίτηση των χρημάτων για να εισάγουν προσαρμοσμένο κείμενο που περιλαμβάνει και μια σύντομη Goo.gl διεύθυνση URL. Όταν αυτός ο σύντομος σύνδεσμος μπει σε μια ιστοσελίδα, αυτόματα κατεβάζει το αρχείο paypalTransactionDetails.jpeg.js στον υπολογιστή του χρήστη.
Αν ένας χρήστης τρέξει αυτό το αρχείο JavaScript, ο κακόβουλος κώδικας θα κατέβει και θα εγκαταστήσει ένα flash.exe binary που θα μολύνει τον υπολογιστή του με το Chthonic trojan.
Σε μεταγενέστερο στάδιο, οι ερευνητές της Proofpoint παρατήρησαν ότι το Chthonic κατεβάζει και άλλο ένα module που ονομάζεται AZORult. Προς το παρόν, δεν υπάρχουν λεπτομέρειες σχετικά με το τι κάνει αυτό το module και οι Proofpoint ερευνητές εξακολουθούν να ερευνούν τον κώδικά του.
Τα καλά νέα είναι ότι σύμφωνα με τα στατιστικά στοιχεία της Google, το κακόβουλο URL έχει προσπελαστεί μόνο 27 φορές.
Οι ερευνητές δεν είναι σίγουροι, αν οι απατεώνες πίσω από αυτή την εκστρατεία χάκαραν τους νόμιμους PayPal λογαριασμούς ή δημιούργησαν νέους από το μηδέν.
«Δεν είμαστε σίγουροι για το πόσο μεγάλο κομμάτι αυτής της διαδικασίας ήταν αυτοματοποιημένο και πόσο χειροκίνητο, αλλά ο όγκος ηλεκτρονικού ταχυδρομείου ήταν μικρός», λέει η Proofpoint, «η τεχνική είναι τόσο ενδιαφέρουσα όσο και ανησυχητική».
