Selon Hackread.com (18 août 2025), un acteur de menace se présentant comme « Chucky_BF » propose sur un forum cybercriminel un lot baptisé « Global PayPal Credential Dump 2025 » comprenant plus de 15,8 millions de paires email:mot de passe (en clair), assorties d’URLs liées aux services PayPal.
Le vendeur affirme que le dump (environ 1,1 Go) couvre des comptes à l’échelle mondiale (Gmail, Yahoo, Hotmail, domaines pays), avec des entrées raw email:password:url. Les échantillons montreraient des adresses Gmail associées à des mots de passe et pointant vers des endpoints PayPal tels que /signin, /signup, /connect, ainsi que des URIs Android, suggérant une structuration qui faciliterait l’automatisation de connexions et l’abus de services. Certains comptes apparaissent en formats web et mobile. 💳
Le post met en avant des usages criminels attendus comme le credential stuffing, le phishing et la fraude. Le vendeur indique un mélange de comptes réels et tests/faux, des mots de passe souvent forts et uniques mais parfois réutilisés, exposant potentiellement d’autres services au-delà de PayPal. Le prix annoncé est de 750 USD pour l’accès complet, cohérent avec d’autres dumps similaires sur les marchés cybercriminels.
Hackread.com souligne que PayPal n’a pas confirmé l’incident et qu’il n’est pas établi s’il s’agit de données authentiques, de mélanges ou de reconditionnements d’anciennes fuites. Le média rappelle l’historique de PayPal sans violation directe massive, les précédents cas étant liés au credential stuffing ou à des données récoltées ailleurs. La source probable évoquée pour ce dump est des logs d’infostealers, compte tenu de la structure observée (collecte sur appareils infectés, données de navigateurs et identifiants sauvegardés, compilées ensuite à l’échelle mondiale). 🦠
Contexte: en mai, le chercheur Jeremiah Fowler a découvert un serveur cloud mal configuré contenant 184 millions d’identifiants (noms d’utilisateur, emails, mots de passe), vraisemblablement collectés via des infostealers. Selon Hudson Rock, ces malwares sont facilement accessibles sur le dark web et ont touché à grande échelle des secteurs critiques, y compris des entités de défense américaines (Pentagone, grands contractants, branches militaires, FBI). Hackread.com indique ne pas avoir pu vérifier l’authenticité des données et attend une réponse de PayPal.
IOCs (tels que décrits):
- Alias de l’acteur: « Chucky_BF »
- Références d’URL liées à PayPal: /signin, /signup, /connect, URIs Android (non détaillées)
TTPs observés/mentionnés:
- Vente de dumps d’identifiants sur forum cybercriminel
- Collecte via malwares infostealers (exfiltration d’identifiants, données de navigateur)
- Automatisation de connexions via URLs structurées
- Credential stuffing, phishing, fraude
Type d’article: article de presse spécialisé orienté analyse de menace, visant à informer sur une offre de données d’identifiants PayPal et à contextualiser sa source probable et son ampleur.
🧠 TTPs et IOCs détectés
TTPs
[‘Vente de dumps d’identifiants sur forum cybercriminel’, ‘Collecte via malwares infostealers (exfiltration d’identifiants, données de navigateur)’, ‘Automatisation de connexions via URLs structurées’, ‘Credential stuffing’, ‘Phishing’, ‘Fraude’]
IOCs
[‘Alias de l’acteur: Chucky_BF’, ‘Références d’URL liées à PayPal: /signin, /signup, /connect, URIs Android’]
🔗 Source originale : https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/