LastPass met en garde contre une campagne en cours dans laquelle des escrocs écrivent des critiques pour son extension Chrome afin de promouvoir un faux numéro de téléphone du support client. Cependant, ce numéro de téléphone fait partie d’une campagne beaucoup plus vaste visant à inciter les appelants à donner aux escrocs un accès à distance à leurs ordinateurs, comme l’a découvert Breachtrace .
LastPass est un gestionnaire de mots de passe populaire qui utilise une extension Chrome LastPass pour générer, enregistrer, gérer et remplir automatiquement les mots de passe des sites Web.
Les auteurs de menaces tentent de cibler une grande partie de la base d’utilisateurs de l’entreprise en laissant des avis 5 étoiles avec un faux numéro d’assistance client LastPass.
Ces avis incitent les utilisateurs confrontés à des problèmes avec l’application à contacter le service client en ligne LastPass au 805-206-2892, qui n’est pas associé au fournisseur.
Au lieu de cela, un escroc répondant au téléphone usurpera l’identité de LastPass et dirigera les individus vers un site à l’adresse ‘ddhelp[.] haut ‘ où ils doivent entrer un code pour télécharger un programme d’assistance à distance.
« Les personnes appelant ce faux numéro d’assistance seront accueillies par une personne demandant avec quel produit elles rencontrent des problèmes, puis une série de questions pour savoir si elles tentent d’accéder à LastPass via un ordinateur ou un appareil mobile et quel système d’exploitation elles utilisent », explique LastPass.
« Ils seront ensuite dirigés vers le site dghelp[.] en haut pendant que l’auteur de la menace reste en ligne et tente d’amener la victime potentielle à interagir avec le site, exposant ses données. »
Breachtrace a découvert que la saisie du code sur cette page téléchargera un agent ConnectWise ScreenConnect [VirusTotal] qui donnera à l’escroc un accès complet à l’ordinateur d’une personne.
À partir de là, un acteur menaçant peut garder l’appelant engagé avec des questions. Au même moment, un autre escroc utilise ScreenConnect en arrière-plan pour installer d’autres programmes d’accès à distance sans surveillance, voler des données ou voler des données de l’ordinateur.
Breachtrace a constaté que le client ScreenConnect établirait des connexions aux serveurs contrôlés par l’attaquant à molatorimax[.] unité de soins intensifs et n9back366[.] flux. Ces deux sites ont déjà été associés à une adresse IP en Ukraine avant d’être cachés derrière Cloudflare.
Il est rappelé aux utilisateurs de LastPass de ne jamais partager leur mot de passe principal avec qui que ce soit, pas même le support client légitime, car cela donnerait un accès privé à tous les mots de passe et données stockés dans les coffres-forts de LastPass.
Lié à une campagne d’escroquerie plus importante
Breachtrace a appris que le numéro de téléphone associé au faux centre d’assistance LastPass est lié à une campagne beaucoup plus vaste.
Facebook, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster et Capital One.Le numéro de téléphone, 805-206-2892, a également été présenté comme un numéro de support pour de nombreuses autres sociétés, notamment Amazon, Adobe, Facebook, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster et Capital One.
Ces faux numéros d’assistance sont publiés non seulement sur les critiques d’extensions Chrome, mais également sur des sites qui permettent à quiconque de créer du contenu, tels que les forums d’entreprise et Reddit.
Bien que bon nombre de ces publications soient supprimées au fur et à mesure de leur création, d’autres sont toujours disponibles, de nouvelles étant créées tout au long de la journée.