Cybersicherheitsexperten haben eine ausgeklügelte Phishing-Kampagne aufgedeckt, bei der Cyberkriminelle die legitime Gift-Address-Funktion von PayPal missbrauchen, um täuschend echte Betrugs-E-Mails zu versenden. Die Besonderheit dieser Attacke liegt darin, dass die betrügerischen Nachrichten direkt von der offiziellen E-Mail-Adresse [email protected] stammen und damit sämtliche Authentifizierungsprüfungen bestehen.
Technische Details der Phishing-Methode
Die Angreifer nutzen eine Schwachstelle in PayPals Lieferadress-System aus. Im Address-2-Feld der Gift-Address-Funktion platzieren sie gefälschte Benachrichtigungen über angebliche MacBook-Käufe zusammen mit einer Kontakttelefonnummer. Nach dem Speichern versendet das System automatisch eine Bestätigungs-E-Mail, die den manipulierten Text und die Betrüger-Kontaktdaten enthält.
Social Engineering und Malware-Verteilung
Wenn Opfer die angegebene Nummer anrufen, werden sie von falschen Support-Mitarbeitern empfangen. Diese setzen Social-Engineering-Techniken ein, um die Installation der Remote-Access-Software ConnectWise ScreenConnect zu erwirken. Die Malware wird über verdächtige Domains wie pplassist[.]com und lokermy.numaduliton[.]icu verbreitet, die eindeutig mit der Kampagne in Verbindung stehen.
Komplexe Verteilungsinfrastruktur
Die technische Analyse der E-Mail-Header offenbart ein ausgeklügeltes Weiterleitungssystem. Die initial generierte Nachricht wird zunächst an [email protected] gesendet und anschließend über einen Microsoft 365-Tenant an potenzielle Opfer weitergeleitet. Diese mehrstufige Struktur erschwert die Nachverfolgung der eigentlichen Absender.
Technische Schwachstelle bei PayPal
Der Hauptgrund für die erfolgreiche Durchführung dieser Angriffe liegt in der fehlenden Zeichenbegrenzung der Adressformularfelder. Diese technische Limitation ermöglicht es den Angreifern, umfangreiche Textnachrichten einzuschleusen, die dann in offiziellen System-Benachrichtigungen erscheinen.
Diese hochentwickelte Phishing-Kampagne verdeutlicht die zunehmende Raffinesse von Cyberkriminellen bei der Umgehung etablierter Sicherheitsmechanismen. Nutzer sollten bei unerwarteten Transaktionsbenachrichtigungen äußerste Vorsicht walten lassen und unter keinen Umständen Software auf Anweisung von Telefonsupport-Mitarbeitern installieren. Experten empfehlen die Aktivierung der Zwei-Faktor-Authentifizierung und regelmäßige Überprüfung der PayPal-Kontoeinstellungen auf unauthorized Änderungen.
