LastPass

LastPassは、詐欺師が同社のChrome拡張機能のレビューを書き、偽のカスタマーサポート電話番号を宣伝する現在進行中のキャンペーンについて警告している。しかしこの電話番号は、.NETが発見したように、詐欺師を騙してコンピュータにリモートアクセスさせようとする、より大規模なキャンペーンの一部です。

LastPassは人気のあるパスワード管理ツールで、LastPassのChrome拡張機能を利用して、ウェブサイトのパスワードを生成、保存、管理、自動入力することができます。

脅威行為者は、偽のLastPassカスタマーサポート番号とともに5つ星のレビューを残すことで、同社のユーザーベースの大部分を標的にしようとしている。

これらのレビューでは、アプリで問題に直面したユーザーに、ベンダーとは無関係のLastPassオンラインカスタマーサービス(805-206-2892)に連絡するよう促している。

Fraudulent reviews on Chrome Web Store
Chrome ウェブストアの詐欺レビュー
ソースはこちら:LastPass

代わりに、電話に出た詐欺師がLastPassになりすまし、「dghelp[.]top」のサイトに誘導し、コードを入力してリモートサポートプログラムをダウンロードさせる。

Fake support site
偽のサポートサイト

“この偽サポート番号に電話をかけると、どの製品で問題が起きているのか、そしてLastPassにアクセスしようとしているのがコンピュータなのかモバイルデバイスなのか、使用しているオペレーティングシステムは何なのか、といった一連の質問が表示されます

“その後、dghelp[.]topというサイトに誘導され、その間に脅迫者が電話をかけ続け、潜在的な被害者をサイトに誘導し、データを暴露させようとします。”

は、このページのコードを入力すると、詐欺師が人のコンピュータにフルアクセスできるようにするConnectWise ScreenConnectエージェント[VirusTotal]がダウンロードされることを発見しました。

Support agent signed by ConnectWise
ConnectWise
Sourceによって 署名されたサポートエージェント

そこから、1 人の詐欺師が電話をかけてきた相手に質問を浴びせます。同時に、別の詐欺師はバックグラウンドで ScreenConnect を使用し、無人のリモートアクセスのために他のプログラムをインストールしたり、データを盗んだり、コンピュータからデータを盗んだりします。

その結果、ScreenConnect クライアントは、molatorimax[.]icu および n9back366[.]stream にある攻撃者が管理するサーバーに接続することが判明しました。これらのサイトはどちらも、Cloudflareの背後に隠れる前に、以前ウクライナのIPアドレスと関連付けられていた。

LastPassのユーザーは、正規のカスタマーサポートであっても、マスターパスワードを誰にも教えないよう注意してください。

より大規模な詐欺キャンペーンに関連して

LastPassの偽サポートセンターに関連する電話番号が、より大規模なキャンペーンに関連していることがわかった。

この電話番号805-206-2892は、Amazon、Adobe、Facebook、Hulu、YouTube TV、Peakcock TV、Verizon、Netflix、Roku、PayPal、Squarespace、Grammarly、iCloud、Ticketmaster、Capital Oneなど、その他多数の企業のサポート番号としても宣伝されていることがわかった。

Promoted as PayPal and iCloud support numbers
PayPalとiCloudのサポート番号として宣伝
ソースは こちら:

これらの偽のサポート番号は、Chrome拡張機能のレビューだけでなく、企業フォーラムやRedditなど、誰でもコンテンツを作成できるサイトにも投稿されています。

これらの投稿の多くは作成されると削除されますが、他の投稿はまだ利用可能で、一日中新しいものが作成されています。