A LastPass está alertando os usuários sobre uma nova campanha de phishing que envia e-mails solicitando acesso ao cofre de senhas, simulando um processo de herança.
A atividade teve início em meados de outubro, e os domínios e a infraestrutura utilizados são atribuídos a um grupo de cibercriminosos com motivação financeira chamado CryptoChameleon (UNC5356).
O CryptoChameleon emprega um kit de phishing voltado para o roubo de criptomoedas, focado em diversas wallets, como Binance, Coinbase, Kraken e Gemini.
Para isso, utiliza páginas falsas de login do Okta, Gmail, iCloud e Outlook.
Em abril de 2024, o mesmo grupo já havia atacado usuários da LastPass; porém, a campanha mais recente é mais ampla e sofisticada, incluindo agora ataques a passkeys.
Os e-mails fraudulentos enviados aos usuários simulam que um parente solicitou acesso ao cofre, anexando um suposto atestado de óbito.
O sistema de herança da LastPass é um recurso de acesso emergencial que permite que pessoas indicadas pelo titular da conta solicitem acesso ao cofre em caso de falecimento ou incapacitação.
Quando essa solicitação é aberta, o titular recebe uma notificação por e-mail e, após um período de espera, o acesso é liberado automaticamente para o contato indicado.
No golpe, o pedido falso de herança inclui um número de identificação do agente para aumentar a sensação de autenticidade, induzindo a vítima a agir e cancelar a solicitação caso esteja ativa, por meio de um link.
Contudo, esse link redireciona para uma página falsa hospedada em lastpassrecovery[.]com — um formulário de login onde a vítima é induzida a informar sua master password.
Em algumas situações, os criminosos chegaram a telefonar para as vítimas se passando por funcionários da LastPass, orientando-as a inserir suas credenciais na página falsa.
Um dos pontos-chave desse ataque do CryptoChameleon é a utilização de domínios voltados para passkeys, como mypasskey[.]info e passkeysetup[.]com, evidenciando tentativas explícitas de roubo desses métodos de autenticação.
Passkeys são um padrão de autenticação sem senha, baseado nos protocolos FIDO2 e WebAuthn, que utilizam criptografia assimétrica em substituição às senhas tradicionais.
Gerenciadores de senha modernos — incluindo LastPass, 1Password, Dashlane e Bitwarden — já suportam o armazenamento e a sincronização de passkeys entre dispositivos, e os criminosos passaram a direcionar ataques diretamente a esse recurso.
Em 2022, a LastPass sofreu um ataque significativo, em que invasores roubaram backups criptografados de cofres.
O incidente resultou em ataques direcionados subsequentes, que causaram prejuízos estimados em cerca de 4,4 milhões de dólares em criptomoedas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...