Usuários do LastPass e Bitwarden são alvo de alertas falsos de segurança
15 de Julho de 2026

A LastPass está alertando os usuários sobre uma campanha de phishing em andamento que usa falsos avisos de segurança para direcionar as vítimas a sites fraudulentos.

Os e-mails de phishing foram elaborados para se parecer com comunicações corporativas legítimas.

Eles informam os destinatários sobre atualizações nas políticas de segurança e os conduzem a uma página que imita a DocuSign, alegando disponibilizar um documento para revisão.

A LastPass reforça que seus sistemas não foram comprometidos e que os e-mails de phishing não partiram de sua infraestrutura, embora os atacantes tenham usado domínios criados para parecer serviços legítimos da empresa.

Os e-mails enviados de “[email protected]” notificam o usuário sobre supostas mudanças nas políticas de serviço da LastPass, incluindo monitoramento aprimorado de SaaS, opções de redefinição da senha mestra para administradores e melhorias no console de administração.

Ao clicar no botão “Review & Access Terms” incorporado na mensagem, o usuário é levado a um site que imita o serviço da DocuSign, amplamente usado para enviar, assinar e gerenciar documentos eletronicamente.

No entanto, o domínio utilizado é lastpasscompliance[.]com, que foi sinalizado como malicioso pelo Microsoft Defender for Office 365 e pela Cloudflare.

Embora a LastPass não tenha conseguido confirmar o objetivo da campanha, a empresa afirma que o site falso tenta induzir o usuário a baixar um arquivo que supostamente oferece suporte a Windows e macOS.

O site também oferece suporte ao vivo por meio de uma caixa de chat, mas não está claro se esse recurso funciona de fato.

No momento da publicação, o site malicioso já havia sido retirado do ar.

O BleepingComputer também identificou que usuários do Bitwarden estão sendo alvo de e-mails semelhantes, enviados de “hello@bitwardennewsletter[.]com” e redirecionando para bitwardencompliance[.]com.

Em março, a LastPass já havia alertado sobre falsos avisos de acesso não autorizado à conta, que se passavam pelo serviço de senhas e usavam conversas forjadas para aumentar a sensação de urgência e levar à exposição de dados.

Antes disso, em janeiro, usuários da LastPass foram alvo de alertas falsos que afirmavam que seria necessário fazer backup dos cofres em até 24 horas, supostamente por causa de uma manutenção programada do sistema.

A LastPass orienta os usuários a nunca informarem a senha mestra e pede que qualquer comunicação suspeita seja encaminhada para abuse@lastpass[.]com.

Quem inseriu credenciais em sites de phishing deve alterar a senha mestra imediatamente a partir de um dispositivo confiável e verificar o cofre em busca de atividades suspeitas.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...