LastPass mette in guardia gli utenti da una campagna di phishing attualmente in corso. I truffatori scrivono recensioni per la sua estensione Chrome per promuovere un falso numero di telefono dell'assistenza clienti. Tuttavia, questo numero di telefono fa parte di una campagna molto più ampia per ingannare i chiamanti e fargli dare ai truffatori l'accesso remoto ai loro computer. LastPass è un famoso gestore di password che utilizza un'estensione LastPass Chrome per generare, salvare, gestire e compilare automaticamente le password dei siti web. Gli autori delle minacce stanno tentando di colpire una larga fetta della base di utenti dell'azienda lasciando recensioni a 5 stelle con un falso numero di assistenza clienti LastPass. Queste recensioni esortano gli utenti che riscontrano problemi con l'app a contattare il servizio clienti online LastPass al numero “805-206-2892”, non associato al fornitore.
Al contrario, un truffatore che risponde al telefono si spaccia per LastPass e indirizza gli utenti a un sito chiamato 'dghelp[.]top'. Quest’ultimi devono quindi inserire un codice per scaricare un programma di supporto remoto. Come spiegato dall’azienda: "gli individui che chiamano questo falso numero di supporto saranno accolti da un individuo che chiede con quale prodotto stanno avendo problemi. In seguito, verranno effettuate una serie di domande sul fatto che stiano tentando di accedere a LastPass tramite un computer o un dispositivo mobile e quale sistema operativo stanno utilizzando. Saranno quindi indirizzati al sito dghelp[.]top. L'autore della minaccia rimane quindi in linea e tenta di convincere la potenziale vittima a interagire con il sito, esponendo i suoi dati".
LastPass: come funziona la truffa con falsi numeri di supporto
Il team di BleepingComputer ha scoperto che inserendo il codice in questa pagina verrà scaricato un agente ConnectWise ScreenConnect. Questo darà al truffatore pieno accesso al computer della vittima. Da lì, un attore della minaccia può tenere impegnato il chiamante con domande. Allo stesso tempo, un altro truffatore usa ScreenConnect in background per installare altri programmi per l'accesso remoto senza supervisione e rubare dati dal computer. Il client ScreenConnect stabilirà connessioni ai server controllati dall'aggressore su molatorimax[.]icu e n9back366[.]stream. Entrambi questi siti sono stati precedentemente associati a un indirizzo IP in Ucraina prima di essere nascosti dietro Cloudflare. Si ricorda agli utenti di LastPass di non condividere mai la propria password principale con nessuno, nemmeno con il legittimo servizio clienti.
BleepingComputer ha scoperto che il numero di telefono associato al falso centro di supporto LastPass è collegato a una campagna molto più ampia. Lo stesso numero viene promosso come numero di supporto per numerose altre aziende, come Amazon, Adobe, Meta, Netflix, PayPal, ecc. Questi falsi numeri di supporto vengono pubblicati anche nei siti che consentono a chiunque di creare contenuti, come forum aziendali e Reddit. Mentre molti di questi post vengono rimossi non appena vengono creati, altri sono ancora disponibili online.