LastPass 发现，诈骗者正在为其 Chrome 扩展程序撰写评论，以宣传虚假的客户支持电话号码。

其实电话号码背后是更大的阴谋，旨在诱骗呼叫者让诈骗者可以远程访问他们的计算机。

LastPass 是一款流行的密码管理器，它利用 LastPass Chrome 扩展来生成、保存、管理和自动填充网站密码。威胁者试图通过使用虚假的 LastPass 客户支持号码留下 5 星级评论来瞄准该公司的大量用户群。

这些评论敦促遇到任何应用程序问题的用户拨打相关热线以联系 LastPass 在线客户服务，该服务与供应商无关。

Chrome 网上应用店中的欺诈性评论

相反，接听电话的骗子会冒充 LastPass 并将个人引导至“dghelp[.]top”网站，他们必须在其中输入代码才能下载远程支持程序。

虚假支持网站

拨打虚假支持号码的人会有人询问他们遇到的问题，然后询问他们是否试图通过计算机或移动设备访问 LastPass 以及他们使用的操作系统等一系列问题。然后，他们将被引导至 dghelp[.]top 网站，而威胁者仍保持在线状态，并试图让潜在受害者与该网站互动，从而暴露他们的数据。

研究人员发现，在此页面上输入代码将下载 ConnectWise ScreenConnect 代理 [VirusTotal]，该代理将使诈骗者能够完全访问某人的计算机。

由 ConnectWise 签署的支持代理

从那里，一名威胁者可以让呼叫者继续提问。与此同时，另一个诈骗者利用ScreenConnect在后台安装其他程序进行无人值守的远程访问、窃取数据，或者窃取计算机中的数据。ScreenConnect 客户端将通过 molatorimax[.]icu 和 n9back366[.]stream 与攻击者控制的服务器建立连接。

在隐藏在 Cloudflare 后面之前，这两个网站之前都曾与乌克兰的 IP 地址相关联。提醒 LastPass 用户切勿与任何人（甚至合法的客户支持人员）共享其主密码，因为这将导致对 LastPass 保管库中存储的所有密码和数据的私人访问。

与更大的诈骗活动相关

与虚假 LastPass 支持中心相关的电话号码其实与一场规模大得多的活动有关。该电话号码 805-206-2892 也被发现被宣传为许多其他公司的支持号码，包括 Amazon、Adobe、Facebook、Hulu、YouTube TV、Peakcock TV、Verizon、Netflix、Roku、PayPal、Squarespace、Grammarly、 iCloud、Ticketmaster 和第一资本。

作为 PayPal 和 iCloud 支持号码进行推广

这些虚假的支持号码不仅会发布到 Chrome 扩展程序评论中，还会发布到允许任何人创建内容的网站上，例如公司论坛和 Reddit。虽然其中许多帖子在创建后就被删除了，但其他帖子仍然可用，并且全天都会创建新帖子。