LastPassは、詐欺師が同社のChrome拡張機能のレビューを書き、偽のカスタマーサポート電話番号を宣伝する現在進行中のキャンペーンについて警告している。しかしこの電話番号は、.NETが発見したように、詐欺師を騙してコンピュータにリモートアクセスさせようとする、より大規模なキャンペーンの一部です。
LastPassは人気のあるパスワード管理ツールで、LastPassのChrome拡張機能を利用して、ウェブサイトのパスワードを生成、保存、管理、自動入力することができます。
脅威行為者は、偽のLastPassカスタマーサポート番号とともに5つ星のレビューを残すことで、同社のユーザーベースの大部分を標的にしようとしている。
これらのレビューでは、アプリで問題に直面したユーザーに、ベンダーとは無関係のLastPassオンラインカスタマーサービス(805-206-2892)に連絡するよう促している。
代わりに、電話に出た詐欺師がLastPassになりすまし、「dghelp[.]top」のサイトに誘導し、コードを入力してリモートサポートプログラムをダウンロードさせる。
“この偽サポート番号に電話をかけると、どの製品で問題が起きているのか、そしてLastPassにアクセスしようとしているのがコンピュータなのかモバイルデバイスなのか、使用しているオペレーティングシステムは何なのか、といった一連の質問が表示されます。
“その後、dghelp[.]topというサイトに誘導され、その間に脅迫者が電話をかけ続け、潜在的な被害者をサイトに誘導し、データを暴露させようとします。”
は、このページのコードを入力すると、詐欺師が人のコンピュータにフルアクセスできるようにするConnectWise ScreenConnectエージェント[VirusTotal]がダウンロードされることを発見しました。
そこから、1 人の詐欺師が電話をかけてきた相手に質問を浴びせます。同時に、別の詐欺師はバックグラウンドで ScreenConnect を使用し、無人のリモートアクセスのために他のプログラムをインストールしたり、データを盗んだり、コンピュータからデータを盗んだりします。
その結果、ScreenConnect クライアントは、molatorimax[.]icu および n9back366[.]stream にある攻撃者が管理するサーバーに接続することが判明しました。これらのサイトはどちらも、Cloudflareの背後に隠れる前に、以前ウクライナのIPアドレスと関連付けられていた。
LastPassのユーザーは、正規のカスタマーサポートであっても、マスターパスワードを誰にも教えないよう注意してください。
より大規模な詐欺キャンペーンに関連して
LastPassの偽サポートセンターに関連する電話番号が、より大規模なキャンペーンに関連していることがわかった。
この電話番号805-206-2892は、Amazon、Adobe、Facebook、Hulu、YouTube TV、Peakcock TV、Verizon、Netflix、Roku、PayPal、Squarespace、Grammarly、iCloud、Ticketmaster、Capital Oneなど、その他多数の企業のサポート番号としても宣伝されていることがわかった。
これらの偽のサポート番号は、Chrome拡張機能のレビューだけでなく、企業フォーラムやRedditなど、誰でもコンテンツを作成できるサイトにも投稿されています。
これらの投稿の多くは作成されると削除されますが、他の投稿はまだ利用可能で、一日中新しいものが作成されています。
Comments