Специалисты по кибербезопасности выявили новую масштабную фишинговую кампанию, в которой злоумышленники эксплуатируют легитимную функциональность PayPal для рассылки поддельных уведомлений о покупках. Особенность атаки заключается в том, что мошеннические письма отправляются с официального адреса [email protected], успешно проходя все проверки подлинности.
Механика фишинговой атаки
Злоумышленники используют функцию «подарочных адресов» (gift address) в PayPal, позволяющую добавлять дополнительные адреса доставки в профиль пользователя. В поле Address 2 при добавлении такого адреса внедряется текст о якобы совершенной дорогостоящей покупке MacBook. После сохранения система автоматически отправляет уведомление, содержащее это сообщение, вместе с контактным номером телефона мошенников.
Социальная инженерия и получение удаленного доступа
При звонке на указанный номер жертва попадает к фальшивым операторам поддержки, которые, используя методы социальной инженерии, убеждают установить программное обеспечение для удаленного доступа ConnectWise ScreenConnect. Злоумышленники распространяют вредоносное ПО через домены типа pplassist[.]com и lokermy.numaduliton[.]icu.
Техническая реализация рассылки
Исследование заголовков писем показало сложную схему автоматической пересылки через несколько промежуточных адресов. Изначальное письмо направляется на специально созданный адрес [email protected], откуда через тенант Microsoft 365 производится массовая рассылка потенциальным жертвам.
Уязвимость в системе PayPal
Основной причиной возможности проведения атаки является отсутствие ограничений на количество символов в полях форм адреса в PayPal. Это позволяет злоумышленникам внедрять длинные сообщения, которые впоследствии попадают в официальные уведомления системы.
Данная фишинговая кампания демонстрирует растущую изощренность киберпреступников, которые находят способы обходить традиционные механизмы защиты, используя легитимную функциональность платежных систем. Пользователям рекомендуется проявлять особую бдительность при получении любых уведомлений о несанкционированных операциях и никогда не устанавливать программное обеспечение по требованию телефонных операторов.
