A LastPass está alertando os usuários sobre uma nova campanha de phishing que envia e-mails solicitando acesso ao cofre de senhas, simulando um processo de herança.
A atividade teve início em meados de outubro, e os domínios e a infraestrutura utilizados são atribuídos a um grupo de cibercriminosos com motivação financeira chamado CryptoChameleon (UNC5356).
O CryptoChameleon emprega um kit de phishing voltado para o roubo de criptomoedas, focado em diversas wallets, como Binance, Coinbase, Kraken e Gemini.
Para isso, utiliza páginas falsas de login do Okta, Gmail, iCloud e Outlook.
Em abril de 2024, o mesmo grupo já havia atacado usuários da LastPass; porém, a campanha mais recente é mais ampla e sofisticada, incluindo agora ataques a passkeys.
Os e-mails fraudulentos enviados aos usuários simulam que um parente solicitou acesso ao cofre, anexando um suposto atestado de óbito.
O sistema de herança da LastPass é um recurso de acesso emergencial que permite que pessoas indicadas pelo titular da conta solicitem acesso ao cofre em caso de falecimento ou incapacitação.
Quando essa solicitação é aberta, o titular recebe uma notificação por e-mail e, após um período de espera, o acesso é liberado automaticamente para o contato indicado.
No golpe, o pedido falso de herança inclui um número de identificação do agente para aumentar a sensação de autenticidade, induzindo a vítima a agir e cancelar a solicitação caso esteja ativa, por meio de um link.
Contudo, esse link redireciona para uma página falsa hospedada em lastpassrecovery[.]com — um formulário de login onde a vítima é induzida a informar sua master password.
Em algumas situações, os criminosos chegaram a telefonar para as vítimas se passando por funcionários da LastPass, orientando-as a inserir suas credenciais na página falsa.
Um dos pontos-chave desse ataque do CryptoChameleon é a utilização de domínios voltados para passkeys, como mypasskey[.]info e passkeysetup[.]com, evidenciando tentativas explícitas de roubo desses métodos de autenticação.
Passkeys são um padrão de autenticação sem senha, baseado nos protocolos FIDO2 e WebAuthn, que utilizam criptografia assimétrica em substituição às senhas tradicionais.
Gerenciadores de senha modernos — incluindo LastPass, 1Password, Dashlane e Bitwarden — já suportam o armazenamento e a sincronização de passkeys entre dispositivos, e os criminosos passaram a direcionar ataques diretamente a esse recurso.
Em 2022, a LastPass sofreu um ataque significativo, em que invasores roubaram backups criptografados de cofres.
O incidente resultou em ataques direcionados subsequentes, que causaram prejuízos estimados em cerca de 4,4 milhões de dólares em criptomoedas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...