Source: Malwarebytes, citant une enquête de BleepingComputer. Contexte: des acteurs malveillants ont détourné une fonctionnalité PayPal afin d’envoyer des notifications légitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique.

Les fraudeurs créaient un abonnement PayPal puis le mettaient en pause, ce qui déclenchait le véritable email « Your automatic payment is no longer active » vers l’« abonné ». Ils configuraient en parallèle un faux compte d’abonné, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message à tous les membres. Cette combinaison permettait d’envoyer un email légitime signé service@paypal.com, contournant les filtres et un premier contrôle visuel du destinataire.

Pour créer l’urgence, les emails laissaient croire à un achat coûteux et incluaient un faux numéro “PayPal Support” à appeler. Au téléphone, le pseudo agent demandait une prise de contrôle à distance du PC, exécutait quelques commandes pour intimider, puis tentait d’installer un outil de « correction » afin de monétiser l’accès (vol de données, vente de faux logiciels de protection, facturation abusive). Résultat: pertes financières pour la victime.

PayPal a indiqué à BleepingComputer qu’il mitigeait activement le problème et encourageait à contacter le support via l’app ou la page officielle. Le billet relaie des conseils: utiliser les canaux officiels, ne pas appeler les numéros présents dans des emails suspects, se méfier des accès à distance, signaler les emails douteux à phishing@paypal.com, et, en cas de compromission, contacter sa banque/autorités, changer les mots de passe et activer la 2FA, analyser son système (recherche de backdoors), et surveiller ses comptes. 🛡️ Malwarebytes Scam Guard a classé l’email comme phishing et a listé plusieurs signaux d’alerte (expéditeur trompeur, URLs suspectes, email non officiel, urgence, piège au numéro, fautes de forme).

IOC observés:

  • Domaine: sonyusa.store (non officiel, sans lien avec PayPal/Sony)
  • Email de contact frauduleux: sony12service@gmail.com
  • Numéro de téléphone frauduleux: 805-500-6377
  • Expéditeur affiché: service@paypal.com (adresse légitime utilisée via l’abus de fonctionnalité)

TTPs (techniques, tactiques et procédures):

  • Abus de fonctionnalité PayPal (mise en pause d’abonnement) pour générer un email légitime
  • Listes de diffusion (Google Workspace) pour propager le message
  • Ingénierie sociale: faux achat onéreux, urgence, numéro d’assistance ajouté
  • Tech support scam: demande de contrôle à distance, exécution de commandes pour intimider, installation d’outils, exfiltration/monétisation
  • Contournement de filtres par utilisation d’une adresse expéditeur légitime

Conclusion: article d’analyse de menace et d’alerte, décrivant un abus de fonctionnalité PayPal, la réponse de PayPal, et les indicateurs/techniques associés à l’escroquerie.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de fonctionnalité PayPal (mise en pause d’abonnement) pour générer un email légitime’, ‘Utilisation de listes de diffusion (Google Workspace) pour propager le message’, ‘Ingénierie sociale: faux achat onéreux, urgence, numéro d’assistance ajouté’, ‘Tech support scam: demande de contrôle à distance, exécution de commandes pour intimider, installation d’outils, exfiltration/monétisation’, ‘Contournement de filtres par utilisation d’une adresse expéditeur légitime’]

IOC

{‘domaine’: ‘sonyusa.store’, ’email’: ‘sony12service@gmail.com’, ’numéro de téléphone’: ‘805-500-6377’, ’expéditeur affiché’: ‘service@paypal.com’}

🔗 Source originale : https://www.malwarebytes.com/blog/news/2025/12/paypal-closes-loophole-that-let-scammers-send-real-emails-with-fake-purchase-notices