LastPass, dolandırıcıların sahte bir müşteri destek telefon numarasını tanıtmak amacıyla Chrome uzantısı için incelemeler yazdığı, devam eden bir kampanya hakkında uyarıda bulunuyor. Ancak bu telefon numarası, BleepingComputer tarafından keşfedildiği üzere, arayanları dolandırıcılara bilgisayarlarına uzaktan erişim sağlamaları için kandırmayı amaçlayan çok daha büyük bir kampanyanın parçası.
LastPass, web sitesi şifrelerini oluşturmak, kaydetmek, yönetmek ve otomatik doldurmak için LastPass Chrome uzantısını kullanan popüler bir şifre yöneticisidir.
Tehdit aktörleri, sahte bir LastPass müşteri destek numarasıyla 5 yıldızlı incelemeler bırakarak şirketin kullanıcı tabanının geniş bir bölümünü hedef almaya çalışıyor.
Bu incelemeler, uygulamada herhangi bir sorunla karşılaşan kullanıcıları, satıcıyla ilişkili olmayan 805-206-2892 numaralı telefondan LastPass çevrimiçi müşteri hizmetleriyle iletişime geçmeye teşvik ediyor.
Kaynak: LastPass
Bunun yerine, telefona cevap veren bir dolandırıcı, LastPass’ın kimliğine bürünecek ve bireyleri ‘dghelp’ adresindeki bir siteye yönlendirecektir.[.]top’, uzaktan destek programını indirmek için bir kod girmeleri gereken yerdir.
Kaynak: BleepingComputer
“Bu sahte destek numarasını arayan kişiler, hangi üründe sorun yaşadıklarını soran bir kişi tarafından karşılanacak ve ardından LastPass’e bir bilgisayardan mı yoksa mobil cihazdan mı erişmeye çalıştıkları ve hangi işletim sistemini kullandıklarına ilişkin bir dizi soruyla karşılaşacak. ” LastPass’ı açıklıyor.
“Daha sonra dghelp sitesine yönlendirilecekler[.]Tehdit aktörü hatta kalarak potansiyel kurbanın siteyle etkileşime geçmesini sağlamaya çalışırken verilerini ifşa etmeye çalışıyor.”
BleepingComputer, bu sayfaya kodu girmenin ConnectWise ScreenConnect aracısını indireceğini keşfetti [VirusTotal] bu, dolandırıcıya bir kişinin bilgisayarına tam erişim sağlayacaktır.
Kaynak: BleepingComputer
Buradan bir tehdit aktörü, arayan kişinin sorularla meşgul olmasını sağlayabilir. Aynı zamanda, başka bir dolandırıcı, gözetimsiz uzaktan erişim için başka programlar yüklemek, verileri çalmak veya bilgisayardan veri çalmak için arka planda ScreenConnect’i kullanır.
BleepingComputer, ScreenConnect istemcisinin molatorimax’ta saldırgan tarafından kontrol edilen sunuculara bağlantı kuracağını tespit etti[.]icu ve n9back366[.]aktarım. Bu sitelerin her ikisi de daha önce Cloudflare’in arkasına gizlenmeden önce Ukrayna’daki bir IP adresiyle ilişkilendirilmişti.
LastPass kullanıcılarına, ana şifrelerini meşru müşteri desteği dahil olmak üzere asla kimseyle paylaşmamaları hatırlatılır; çünkü bu, LastPass kasalarında saklanan tüm şifrelere ve verilere özel erişim anlamına gelir.
Daha büyük bir dolandırıcılık kampanyasıyla bağlantılı
BleepingComputer, sahte LastPass destek merkeziyle ilişkili telefon numarasının çok daha büyük bir kampanyayla bağlantılı olduğunu öğrendi.
805-206-2892 numaralı telefon numarasının Amazon, Adobe, Facebook, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly gibi çok sayıda başka şirket için de destek numarası olarak tanıtıldığı görüldü. iCloud, Ticketmaster ve Capital One.
Kaynak: BleepingComputer
Bu sahte destek numaraları yalnızca Chrome uzantı incelemelerinde değil, aynı zamanda şirket forumları ve Reddit gibi herkesin içerik oluşturmasına izin veren sitelerde de yayınlanıyor.
Bu gönderilerin birçoğu oluşturulduğu anda kaldırılsa da, diğerleri gün içinde yenileri oluşturularak hâlâ mevcuttur.