Cibercriminosos se passam por funcionários da LastPass para invadir cofres de senhas
19 de Abril de 2024

A LastPass está alertando sobre uma campanha maliciosa visando seus usuários com o kit de phishing CryptoChameleon, associado ao roubo de criptomoedas.

CryptoChameleon é um kit de phishing avançado que foi identificado no início deste ano, visando funcionários da Federal Communications Commission (FCC) com páginas customizadas de Okta single sign-on (SSO).

De acordo com pesquisadores da empresa de segurança móvel Lookout, campanhas utilizando esse kit de phishing também visaram plataformas de criptomoedas como Binance, Coinbase, Kraken e Gemini, usando páginas que se passavam por Okta, Gmail, iCloud, Outlook, Twitter, Yahoo e AOL.

Durante suas investigações, a LastPass descobriu que seu serviço foi recentemente adicionado ao kit CryptoChameleon, e um site de phishing foi hospedado no domínio "help-lastpass[.]com".

O atacante combina múltiplas técnicas de engenharia social que envolvem o contato com a vítima em potencial (vishing) e fingindo ser um funcionário da LastPass tentando ajudar a proteger a conta após um acesso não autorizado.

Abaixo estão as táticas observadas pela LastPass nessa campanha:

Vítimas recebem uma ligação de um número 888 alertando sobre um acesso não autorizado à sua conta LastPass e são instruídas a permitir ou bloquear o acesso pressionando "1" ou "2".
Caso escolham bloquear o acesso, é informado que receberão uma ligação de seguimento para resolver a questão.
Uma segunda ligação vem de um número falsificado, onde o chamador, se passando por um funcionário da LastPass, envia um e-mail de phishing de "support@lastpass" com um link para o site falso da LastPass.
Inserir a senha mestra nesse site permite que o atacante altere as configurações da conta e bloqueie o usuário legítimo.

O website malicioso está fora do ar agora, mas é muito provável que outras campanhas sigam e que os atores de ameaças confiem em novos domínios.

Usuários do popular serviço de gestão de senhas são aconselhados a ficarem atentos a chamadas telefônicas, mensagens ou e-mails suspeitos alegando ser da LastPass e pedindo ação imediata.

Alguns indicadores de comunicação suspeita desta campanha incluem e-mails com o assunto "Estamos aqui por você" e o uso de um serviço de URL encurtada para links na mensagem.

Usuários devem reportar essas tentativas para a LastPass em [email protected].

Independente do serviço, a senha mestra não deve ser compartilhada com ninguém, pois ela é a chave para todas as suas informações sensíveis.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...