LastPass 发现,诈骗者正在为其 Chrome 扩展程序撰写评论,以宣传虚假的客户支持电话号码。
其实电话号码背后是更大的阴谋,旨在诱骗呼叫者让诈骗者可以远程访问他们的计算机。
LastPass 是一款流行的密码管理器,它利用 LastPass Chrome 扩展来生成、保存、管理和自动填充网站密码。威胁者试图通过使用虚假的 LastPass 客户支持号码留下 5 星级评论来瞄准该公司的大量用户群。
这些评论敦促遇到任何应用程序问题的用户拨打相关热线以联系 LastPass 在线客户服务,该服务与供应商无关。
Chrome 网上应用店中的欺诈性评论
相反,接听电话的骗子会冒充 LastPass 并将个人引导至“dghelp[.]top”网站,他们必须在其中输入代码才能下载远程支持程序。
虚假支持网站
拨打虚假支持号码的人会有人询问他们遇到的问题,然后询问他们是否试图通过计算机或移动设备访问 LastPass 以及他们使用的操作系统等一系列问题。然后,他们将被引导至 dghelp[.]top 网站,而威胁者仍保持在线状态,并试图让潜在受害者与该网站互动,从而暴露他们的数据。
研究人员发现,在此页面上输入代码将下载 ConnectWise ScreenConnect 代理 [VirusTotal],该代理将使诈骗者能够完全访问某人的计算机。
由 ConnectWise 签署的支持代理
从那里,一名威胁者可以让呼叫者继续提问。与此同时,另一个诈骗者利用ScreenConnect在后台安装其他程序进行无人值守的远程访问、窃取数据,或者窃取计算机中的数据。ScreenConnect 客户端将通过 molatorimax[.]icu 和 n9back366[.]stream 与攻击者控制的服务器建立连接。
在隐藏在 Cloudflare 后面之前,这两个网站之前都曾与乌克兰的 IP 地址相关联。提醒 LastPass 用户切勿与任何人(甚至合法的客户支持人员)共享其主密码,因为这将导致对 LastPass 保管库中存储的所有密码和数据的私人访问。
与更大的诈骗活动相关
与虚假 LastPass 支持中心相关的电话号码其实与一场规模大得多的活动有关。该电话号码 805-206-2892 也被发现被宣传为许多其他公司的支持号码,包括 Amazon、Adobe、Facebook、Hulu、YouTube TV、Peakcock TV、Verizon、Netflix、Roku、PayPal、Squarespace、Grammarly、 iCloud、Ticketmaster 和第一资本。
作为 PayPal 和 iCloud 支持号码进行推广
这些虚假的支持号码不仅会发布到 Chrome 扩展程序评论中,还会发布到允许任何人创建内容的网站上,例如公司论坛和 Reddit。虽然其中许多帖子在创建后就被删除了,但其他帖子仍然可用,并且全天都会创建新帖子。
参考及来源:https://www.bleepingcomputer.com/news/security/lastpass-warns-of-fake-support-centers-trying-to-steal-customer-data/