A LastPass está alertando sobre uma campanha maliciosa visando seus usuários com o kit de phishing CryptoChameleon, associado ao roubo de criptomoedas.
CryptoChameleon é um kit de phishing avançado que foi identificado no início deste ano, visando funcionários da Federal Communications Commission (FCC) com páginas customizadas de Okta single sign-on (SSO).
De acordo com pesquisadores da empresa de segurança móvel Lookout, campanhas utilizando esse kit de phishing também visaram plataformas de criptomoedas como Binance, Coinbase, Kraken e Gemini, usando páginas que se passavam por Okta, Gmail, iCloud, Outlook, Twitter, Yahoo e AOL.
Durante suas investigações, a LastPass descobriu que seu serviço foi recentemente adicionado ao kit CryptoChameleon, e um site de phishing foi hospedado no domínio "help-lastpass[.]com".
O atacante combina múltiplas técnicas de engenharia social que envolvem o contato com a vítima em potencial (vishing) e fingindo ser um funcionário da LastPass tentando ajudar a proteger a conta após um acesso não autorizado.
Abaixo estão as táticas observadas pela LastPass nessa campanha:
Vítimas recebem uma ligação de um número 888 alertando sobre um acesso não autorizado à sua conta LastPass e são instruídas a permitir ou bloquear o acesso pressionando "1" ou "2".
Caso escolham bloquear o acesso, é informado que receberão uma ligação de seguimento para resolver a questão.
Uma segunda ligação vem de um número falsificado, onde o chamador, se passando por um funcionário da LastPass, envia um e-mail de phishing de "support@lastpass" com um link para o site falso da LastPass.
Inserir a senha mestra nesse site permite que o atacante altere as configurações da conta e bloqueie o usuário legítimo.
O website malicioso está fora do ar agora, mas é muito provável que outras campanhas sigam e que os atores de ameaças confiem em novos domínios.
Usuários do popular serviço de gestão de senhas são aconselhados a ficarem atentos a chamadas telefônicas, mensagens ou e-mails suspeitos alegando ser da LastPass e pedindo ação imediata.
Alguns indicadores de comunicação suspeita desta campanha incluem e-mails com o assunto "Estamos aqui por você" e o uso de um serviço de URL encurtada para links na mensagem.
Usuários devem reportar essas tentativas para a LastPass em [email protected].
Independente do serviço, a senha mestra não deve ser compartilhada com ninguém, pois ela é a chave para todas as suas informações sensíveis.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...