بواسطة: بيل تولاس | BleepingComputer
تحذر شركة LastPass من حملة جارية يقوم فيها المحتالون بكتابة مراجعات لإضافتها على Chrome للترويج لرقم هاتف مزيف لخدمة العملاء. ومع ذلك، فإن رقم الهاتف هذا هو جزء من حملة أكبر بكثير لخداع المتصلين وحملهم على منح المحتالين إمكانية الوصول عن بُعد إلى أجهزة الكمبيوتر الخاصة بهم، كما اكتشف موقع BleepingComputer.
LastPass هو مدير كلمات مرور شائع يستخدم ملحق LastPass Chrome لإنشاء كلمات مرور مواقع الويب وحفظها وإدارتها وتعبئتها تلقائيًا.
يحاول الجناة استهداف شريحة كبيرة من قاعدة مستخدمي الشركة من خلال ترك تقييمات 5 نجوم مع رقم دعم عملاء LastPass المزيف.
تحث هذه المراجعات المستخدمين الذين يواجهون أي مشاكل مع التطبيق على الاتصال بخدمة عملاء LastPass عبر الإنترنت على الرقم 805-206-2892، وهو غير مرتبط بالبائع.
بدلاً من ذلك، سوف ينتحل المحتال الذي يرد على الهاتف شخصية LastPass ويوجه الأفراد إلى موقع على "dghelp[.]top" حيث يجب عليهم إدخال رمز لتنزيل برنامج الدعم عن بعد.
"سيتم الترحيب بالأفراد الذين يتصلون برقم الدعم المزيف هذا من قبل فرد يسألهم عن المنتج الذي يواجهون مشكلات معه، ثم سلسلة من الأسئلة حول ما إذا كانوا يحاولون الوصول إلى LastPass عبر جهاز كمبيوتر أو جهاز محمول ونظام التشغيل الذي يستخدمونه"، كما توضح LastPass .
"سيتم بعد ذلك توجيههم إلى موقع dghelp[.]top بينما يظل الفاعل المهدد على الخط ويحاول إقناع الضحية المحتملة بالتفاعل مع الموقع، مما يعرض بياناتهم للخطر."
اكتشف موقع BleepingComputer أن إدخال الكود الموجود على هذه الصفحة سيؤدي إلى تنزيل وكيل ConnectWise ScreenConnect [ VirusTotal ] والذي سيمنح المحتال إمكانية الوصول الكامل إلى جهاز الكمبيوتر الخاص بشخص ما.
ومن هناك، يمكن لممثل تهديد واحد أن يجعل المتصل منشغلاً بالأسئلة. وفي الوقت نفسه، يستخدم محتال آخر برنامج ScreenConnect في الخلفية لتثبيت برامج أخرى للوصول عن بعد دون مراقبة، أو سرقة البيانات، أو سرقة البيانات من الكمبيوتر.
اكتشف BleepingComputer أن عميل ScreenConnect سيجري اتصالات بخوادم يتحكم فيها المهاجمون في molatorimax[.]icu وn9back366[.]stream. وقد تم ربط كلا الموقعين سابقًا بعنوان IP في أوكرانيا قبل إخفائهما خلف Cloudflare.
نذكّر مستخدمي LastPass بعدم مشاركة كلمة المرور الرئيسية الخاصة بهم مع أي شخص، حتى فريق دعم العملاء الشرعي، لأن هذا من شأنه أن يمنعهم من الوصول الخاص إلى جميع كلمات المرور والبيانات المخزنة في خزائن LastPass.
مرتبط بحملة احتيال أكبر
علم موقع BleepingComputer أن رقم الهاتف المرتبط بمركز دعم LastPass المزيف مرتبط بحملة أكبر بكثير.
كما تم العثور على رقم الهاتف 805-206-2892 كرقم دعم للعديد من الشركات الأخرى، بما في ذلك Amazon وAdobe وFacebook وHulu وYouTube TV وPeakcock TV وVerizon وNetflix وRoku وPayPal وSquarespace وGrammarly وiCloud وTicketmaster وCapital One.
لا يتم نشر أرقام الدعم المزيفة هذه في مراجعات ملحقات Chrome فحسب، بل أيضًا في المواقع التي تسمح لأي شخص بإنشاء المحتوى، مثل منتديات الشركة وReddit.
في حين يتم إزالة العديد من هذه المنشورات فور إنشائها، تظل المنشورات الأخرى متاحة، مع إنشاء منشورات جديدة على مدار اليوم.