LastPass, dolandırıcıların sahte bir müşteri destek telefon numarasını tanıtmak için Chrome uzantısı için incelemeler yazdığı devam eden bir kampanya hakkında uyarı yapıyor. Bununla birlikte, bu telefon numarası, arayanları BleepingComputer tarafından keşfedildiği gibi, dolandırıcılara bilgisayarlarına uzaktan erişim sağlamak için çok daha büyük bir kampanyanın bir parçasıdır.
LastPass, web sitesi şifrelerini oluşturmak, kaydetmek, yönetmek ve otomatik olarak otomatik olarak bir LastPass Chrome uzantısı kullanan popüler bir şifre yöneticisidir.
Tehdit aktörleri, sahte bir LastPass müşteri destek numarasıyla 5 yıldızlı incelemeler bırakarak şirketin kullanıcı tabanının büyük bir alanını hedeflemeye çalışıyor.
Bu incelemeler, satıcı ile ilişkili olmayan 805-206-2892 numaralı telefondan LastPass Online Müşteri Hizmetleri ile iletişime geçmeye uygulanan herhangi bir sorunla karşılaşan kullanıcıları çağırır.
Bunun yerine, telefona cevap veren bir dolandırıcı, LastPass'ı taklit edecek ve bireyleri 'Dghelp [.] Top' adresindeki bir siteye yönlendirecektir, burada bir uzak destek programını indirmek için bir kod girmeleri gerekir.
"Bu sahte destek numarası çağıran bireyler, hangi ürünle ilgili sorun yaşadıklarını soran bir kişi tarafından karşılanır ve ardından bir bilgisayar veya mobil cihaz aracılığıyla LastPass'a erişmeye çalışıp erişmediklerine ve hangi işletim sistemini kullandıklarına ilişkin bir dizi soru, "LastPass açıklıyor.
Diyerek şöyle devam etti: "Daha sonra tehdit oyuncusu hatta kalırken Dghelp [.] Üstüne yönlendirilecekler ve potansiyel kurbanın siteyle etkileşime girmesini, verilerini açığa çıkarmaya çalışacaklar."
BleepingComputer, bu sayfaya kodu girmenin, Scammer'a bir kişinin bilgisayarına tam erişim sağlayacak bir ConnectWise Screenconnect aracısı [Virustotal] indireceğini keşfetti.
Oradan, bir tehdit oyuncusu arayanın sorularla meşgul olmasını sağlayabilir. Aynı zamanda, başka bir dolandırıcı, katılımsız uzaktan erişim, veri çalmak veya bilgisayardan veri çalmak için diğer programları yüklemek için arka planda screenconnect kullanır.
BleepingComputer, ScreAnconnect istemcisinin Molatorimax [.] ICU ve N9back366 [.] Stream'deki saldırgan kontrollü sunuculara bağlantı kuracağını buldu. Bu sitelerin her ikisi de Cloudflare'nin arkasına gizlenmeden önce Ukrayna'daki bir IP adresi ile ilişkilendirilmişti.
LastPass kullanıcılarına, ana şifrelerini asla meşru müşteri desteği değil, kimseyle paylaşmamaları hatırlatılır, çünkü bu, LastPass kasalarında depolanan tüm şifrelere ve verilere özel erişim olacaktır.
BleepingComputer, sahte LastPass destek merkeziyle ilişkili telefon numarasının çok daha büyük bir kampanyaya bağlı olduğunu öğrendi.
805-206-2892 telefon numarası, Amazon, Adobe, Facebook, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, Paypal, Squarespace, Grammarly, Grammarly, iCloud, Ticketmaster ve Capital One.
Bu sahte destek numaraları sadece Chrome uzantısı incelemelerine değil, aynı zamanda şirket forumları ve Reddit gibi herkesin içerik oluşturmasına izin veren sitelere de gönderilir.
Bu gönderilerin çoğu yaratıldıkça kaldırılırken, diğerleri hala mevcuttur, yeni olanlar gün boyunca oluşturulur.
Google, işletmelerin uzantılar için küratörlü krom web mağazaları oluşturmasına izin vermek için
Yeni kimlik avı saldırılarında backdoed Linux VM'lerle enfekte olan pencereler
Openai'nin yeni chatgpt arama krom uzantısı bir arama korsanı gibi geliyor
Sahte ürün listelerini göstermek için binden fazla çevrimiçi mağaza hacklendi
Amazon, verileri çalmak için Rogue Uzak Masaüstü Kampanyasında kullanılan alanları ele geçirir
Kaynak: Bleeping Computer