Провідний розробник менеджера паролів LastPass виявив масштабну фішингову кампанію, що використовує витончені методи соціальної інженерії для компрометації облікових записів користувачів. Зловмисники розгорнули складну схему з використанням фальшивих позитивних відгуків та підставних контактів служби підтримки, намагаючись отримати несанкціонований доступ до конфіденційних даних.
Анатомія фішингової атаки
Кіберзлочинці розміщують підроблені п’ятизіркові відгуки про розширення LastPass для Chrome, включаючи в них фіктивний номер технічної підтримки (805-206-2892). При зверненні за вказаним номером жертву перенаправляють на шкідливий веб-ресурс dghelp[.]top під приводом встановлення нібито необхідного програмного забезпечення. Ця тактика є класичним прикладом цільового фішингу (spear phishing), спрямованого на користувачів конкретного сервісу.
Технічний аналіз шкідливого ПЗ
Дослідження виявило, що зловмисники використовують програму ConnectWise ScreenConnect для отримання віддаленого доступу до систем користувачів. Шкідливе програмне забезпечення встановлює з’єднання через домени molatorimax[.]icu та n9back366[.]stream, які спочатку були пов’язані з українською IP-адресою, але згодом приховані за допомогою сервісу Cloudflare для маскування реальної інфраструктури атаки.
Розширення загрози та зв’язок з іншими кампаніями
Аналіз інфраструктури атаки показав, що виявлена кампанія є частиною більш широкої шахрайської операції. Той самий телефонний номер фігурує у фальшивих оголошеннях технічної підтримки багатьох популярних сервісів, включаючи Amazon, Adobe, Netflix та PayPal. Зловмисники активно поширюють дезінформацію через різноманітні канали комунікації, включаючи корпоративні форуми та соціальні мережі.
Для захисту від подібних атак фахівці з кібербезпеки рекомендують користувачам дотримуватися базових правил цифрової гігієни: використовувати виключно офіційні канали комунікації з технічною підтримкою, не довіряти підозрілим контактам з відгуків та форумів, а також категорично відмовлятися від надання віддаленого доступу до своїх пристроїв невідомим особам. При виникненні сумнівів необхідно звертатися безпосередньо через офіційний веб-сайт компанії або верифіковані канали підтримки.
