A LastPass está alertando sobre uma campanha em andamento na qual golpistas estão escrevendo avaliações para sua extensão do Chrome, promovendo um número de suporte ao cliente falso.
Contudo, esse telefone faz parte de uma campanha muito maior que visa enganar os interlocutores a conceder aos golpistas acesso remoto a seus computadores.
LastPass é um gerenciador de senhas popular que utiliza uma extensão para Chrome da LastPass para gerar, salvar, gerenciar e preencher automaticamente senhas de sites.
Os atores de ameaças estão tentando mirar uma grande parte da base de usuários da empresa, deixando avaliações de 5 estrelas com um número falso de suporte ao cliente do LastPass.
Estas avaliações instam os usuários que enfrentam quaisquer problemas com o app a entrar em contato com o serviço de atendimento ao cliente online do LastPass no número 805-206-2892, que não está associado ao fornecedor.
Em vez disso, um golpista atendendo ao telefone irá se passar por um representante do LastPass e direcionar os indivíduos para um site em 'dghelp[.]top', onde eles devem inserir um código para baixar um programa de suporte remoto.
"Indivíduos que ligam para este número falso de suporte serão recebidos por uma pessoa perguntando com qual produto estão tendo problemas e, em seguida, uma série de perguntas sobre se estão tentando acessar o LastPass por um computador ou dispositivo móvel e qual sistema operacional estão usando", explica o LastPass.
Eles serão então direcionados ao site dghelp[.]top enquanto o ator de ameaça permanece na linha e tenta fazer com que a vítima potencial interaja com o site, expondo seus dados.
Descobriu-se que, ao inserir o código nesta página, será baixado um agente do ConnectWise ScreenConnect [VirusTotal] que dará ao golpista acesso total ao computador da pessoa.
A partir daí, um ator de ameaça pode manter o interlocutor engajado com perguntas.
Ao mesmo tempo, outro golpista usa o ScreenConnect em segundo plano para instalar outros programas para acesso remoto não supervisionado, roubar dados ou roubar dados do computador.
Ambos os sites já foram associados a um endereço IP na Ucrânia antes de serem ocultados atrás do Cloudflare.
Usuários do LastPass são lembrados de nunca compartilhar sua senha mestre com ninguém, nem mesmo com o suporte ao cliente legítimo, pois isso daria acesso privado a todas as senhas e dados armazenados nos cofres do LastPass.
Foi apurado que o número de telefone associado ao falso centro de suporte do LastPass está ligado a uma campanha muito maior.
O número de telefone, 805-206-2892, também foi promovido como um número de suporte para várias outras empresas, incluindo Amazon, Adobe, Facebook, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster e Capital One.
Esses números de suporte falsos são postados não apenas em avaliações de extensões do Chrome, mas também em sites que permitem a qualquer um criar conteúdo, como fóruns de empresas e Reddit.
Embora muitos desses posts sejam removidos assim que são criados, outros ainda estão disponíveis, com novos sendo criados ao longo do dia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...