Компания LastPass, разработчик популярного менеджера паролей, выявила масштабную фишинговую кампанию, нацеленную на пользователей сервиса. Злоумышленники используют изощренную тактику социальной инженерии, размещая поддельные положительные отзывы с фиктивными контактами технической поддержки.
Механика мошеннической схемы
Киберпреступники публикуют фальшивые пятизвездочные отзывы о расширении LastPass для браузера Chrome, где указывают несуществующий номер службы поддержки (805-206-2892). При обращении по данному номеру мошенники, представляясь сотрудниками LastPass, направляют жертву на вредоносный веб-сайт dghelp[.]top для установки якобы необходимого программного обеспечения.
Технические аспекты атаки
После перехода на мошеннический сайт происходит загрузка программы ConnectWise ScreenConnect, предоставляющей злоумышленникам полный удаленный доступ к системе пользователя. Специалисты по кибербезопасности обнаружили, что вредоносное ПО устанавливает соединение с серверами атакующих через домены molatorimax[.]icu и n9back366[.]stream, которые изначально были привязаны к украинскому IP-адресу, но впоследствии скрыты за сервисом Cloudflare.
Масштаб угрозы
Исследование показало, что данная кампания является частью более широкой мошеннической схемы. Тот же телефонный номер используется в фальшивых объявлениях технической поддержки множества известных сервисов, включая Amazon, Adobe, Netflix, PayPal и других. Злоумышленники распространяют дезинформацию через различные платформы, включая форумы компаний и социальные сети.
Для защиты от подобных атак пользователям рекомендуется проявлять особую бдительность и использовать только официальные каналы связи с технической поддержкой LastPass и других сервисов. Важно помнить, что легитимные компании никогда не запрашивают удаленный доступ к устройствам пользователей через сторонние веб-сайты. При возникновении сомнений следует обращаться напрямую через официальный сайт компании или авторизованные каналы коммуникации.
