Uma campanha de phishing em andamento está mirando usuários dos gerenciadores de senhas LastPass e Bitwarden, com e-mails falsos que alegam que as empresas foram hackeadas.
As mensagens incentivam os destinatários a baixar uma suposta versão desktop mais segura do gerenciador de senhas.
Os links levam ao download de um arquivo binário que, segundo investigação do BleepingComputer, instala o Syncro, uma ferramenta de Remote Monitoring and Management (RMM) usada por Managed Service Providers (MSPs) para otimizar operações de TI.
Os criminosos utilizam a plataforma Syncro para implantar o software de suporte remoto ScreenConnect, que permite o acesso remoto aos dispositivos infectados.
Em alerta recente, o LastPass esclareceu que não sofreu qualquer incidente de segurança e que os e-mails são tentativas de engenharia social.
“Para deixar claro, o LastPass NÃO foi hackeado. Trata-se de uma ação maliciosa que visa gerar urgência e atrair a atenção do destinatário, uma tática comum em ataques de phishing e engenharia social”, afirmou a empresa.
A campanha teve início no último fim de semana, possivelmente para tirar proveito da redução do quadro de colaboradores durante o feriado do Dia de Colombo, atrasando sua detecção.
Os e-mails falsos são bem elaborados, incitando os usuários a instalar um aplicativo desktop anunciado como uma substituição MSI para o formato .exe “desatualizado”, que supostamente apresentava vulnerabilidades que permitiam acesso indevido ao cofre de senhas.
“Os atacantes exploraram falhas em instalações antigas em .exe que, em certas condições, poderiam liberar acesso não autorizado aos dados em cache do cofre”, dizia o alerta falso enviado pelos criminosos.
O LastPass ressaltou que os e-mails maliciosos têm como remetente ‘hello[@]lastpasspulse[.]blog’, mas o BleepingComputer também identificou mensagens enviadas de ‘hello[@]lastpasjournal[.]blog’.
Além disso, a campanha finge ser a Bitwarden, usando o mesmo estilo de texto e isca, com o objetivo de criar urgência e convencer usuários a baixar um aplicativo desktop “melhorado”.
Ontem, o BleepingComputer recebeu uma notificação da falsa conta ‘hello[@]bitwardenbroadcast[.]blog’ relatando um incidente semelhante e informando sobre o lançamento de um cliente seguro que deveria ser instalado.
Atualmente, a Cloudflare já bloqueia o acesso às páginas de destino usadas nesses e-mails fraudulentos, classificando-as como phishing.
Análises dos arquivos binários distribuídos indicam que ambos, direcionados a usuários do LastPass e do Bitwarden, são funcionalmente idênticos.
O malware instala o agente da plataforma Syncro MSP com parâmetros que ocultam o ícone na bandeja do sistema, tentando evitar a percepção do usuário sobre a nova ferramenta.
De acordo com os dados coletados, o Syncro tem a finalidade exclusiva de implantar o ScreenConnect como um instalador “bring-your-own”, garantindo acesso remoto ao invasor ao endpoint comprometido.
O agente Syncro está configurado com poucas opções, indicando que o atacante ativou apenas as funcionalidades mínimas necessárias.
Os arquivos de configuração mostram que ele se comunica com o servidor a cada 90 segundos, não habilita recursos nativos de acesso remoto e não instala as ferramentas de suporte remoto Splashtop (integrada ao Syncro) nem o TeamViewer, apesar da existência de integração.
Além disso, o malware não inclui políticas para instalar soluções de segurança no dispositivo comprometido e chega a desabilitar agentes antivírus como Emsisoft, Webroot e Bitdefender.
Com o ScreenConnect ativo, os criminosos podem se conectar remotamente ao computador da vítima para instalar outras cargas maliciosas, roubar dados e até acessar cofres de senhas por meio das credenciais armazenadas.
Na semana passada, outra campanha atacou usuários do 1Password com e-mails falsos alertando sobre supostos comprometimentos de conta.
Nesse caso, os indicadores — como texto da mensagem, URL de destino e remetente (watchtower[@]eightninety[.]com) — eram diferentes.
Pesquisadores da empresa de cibersegurança Malwarebytes informaram que usuários que clicavam em um botão no e-mail eram redirecionados para uma página de phishing (onepass-word[.]com) por meio de Mandrillapp.
Esse ataque ao 1Password foi inicialmente reportado por Brett Christensen (Hoax-Slayer) no dia 25 de setembro.
Especialistas recomendam que usuários de gerenciadores de senhas ignorem esse tipo de alerta e sempre acessem o site oficial do provedor para verificar possíveis notificações de segurança.
Incidentes importantes, quando existem, são amplamente divulgados nos blogs oficiais das empresas e por meio de releases para a imprensa, tornando essa verificação uma prática fundamental.
Vale reforçar que nenhuma empresa legítima solicitará sua master password por meio de comunicações por e-mail.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...