LastPass предупредила о мошеннической кампании, направленной на пользователей менеджера паролей. Злоумышленники оставляют в сети фальшивые хвалебные отзывы, в которых указывают фейковый номер службы поддержки, с которой якобы общались. Людей, которые звонят по этому номеру, убеждают предоставить удаленный доступ к их компьютерам.
Разработчики сообщают, что среди отзывов о расширении LastPass для Chrome стали попадаться сообщения злоумышленников. В таких отзывах мошенники ставят расширению пять звезд и хвалят работу технической поддержки, указывая фальшивый телефонный номер (805-206-2892), по которому они якобы звонили. На самом деле этот номер не имеет никакого отношения к производителю.
Если позвонить по этому телефону, мошенник, отвечающий на звонки, представится сотрудником поддержки LastPass и попросит пользователя зайти на сайт dghelp[.]top, где нужно ввести код для загрузки специального софта. С сайта загружается ConnectWise ScreenConnect, предоставляющий злоумышленникам полный удаленный доступ к системе жертвы.
«Людей, звонящих на ложный номер поддержки, приветствует человек, который спрашивает, с каким продуктом у них возникли проблемы, а также задает ряд уточняющих вопросов о том, пытается ли пользователь получить доступ к LastPass через компьютер или мобильное устройство, какую ОС использует и так далее, — объясняют представители LastPass. — Затем человека перенаправляют на сайт dghelp[.]top, пока злоумышленник остается на линии и убеждает потенциальную жертву подключиться к сайту и раскрыть свои данные».
Пока один из мошенников может продолжает засыпать звонящего вопросами, удерживая его на линии и отвлекая внимание, другой злоумышленник использует ScreenConnect в фоновом режиме и устанавливает в систему жертвы другое ПО для удаленного доступа и кражи данных.
Как отмечает издание Bleeping Computer, клиент ScreenConnect устанавливает соединение серверами атакующих по адресам molatorimax[.]icu и n9back366[.]stream. Оба эти сайта ранее были связаны с украинским IP-адресом, но затем были скрыты за Cloudflare.
Издание предупреждает, что номер 805-206-2892 связан с вредоносной кампанией более крупных масштабов. Этот телефон также выдают за номер службы поддержки множества других компаний, включая Amazon, Adobe, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster и Capital One.
Причем такие фейковые телефоны могут публиковаться не только в отзывах на браузерные расширения, но и на сайтах, где любой желающий может создавать свой контент: например, на форумах компаний или Reddit. Некоторые из этих сообщений удаляются практически сразу, но другие доступны до сих пор, и новые фейки появляются практически каждый день.