- Автор темы
- #1
Разработчики менеджера паролей LastPass предупредили пользователей о масштабной фишинговой кампании, начавшейся в середине октября 2025 года. Злоумышленники рассылают письма с поддельными запросами на экстренный доступ к хранилищу паролей, которые якобы связаны со смертью пользователей.
По информации специалистов, за этой кампанией стоит финансово мотивированная хак-группа CryptoChameleon (она же UNC5356). Группировка специализируется на краже криптовалюты и уже атаковала пользователей LastPass в апреле 2024 года.
Новая кампания оказалась более масштабной и совершенной технически — теперь злоумышленники охотятся не только за мастер-паролями, но и за passkey.
CryptoChameleon использует специализированный фишинговый набор, нацеленный на криптокошельки Binance, Coinbase, Kraken и Gemini. В атаках группа активно эксплуатирует поддельные страницы входа в Okta, Gmail, iCloud и Outlook.
В новой кампании мошенники злоупотребляют функцией экстренного доступа к LastPass. Дело в том, что у менеджера паролей существует механизм наследования, который позволяет доверенным контактам запрашивать доступ к хранилищу в случае смерти или недееспособности владельца аккаунта. После получения такого запроса владелец учетной записи получает уведомление, и если он не отменит операцию в течение определенного периода времени, доступ к аккаунту предоставляется автоматически.
В своих письмах фишеры утверждают, что член семьи якобы запросил доступ к хранилищу жертвы, загрузив свидетельство о смерти. Для убедительности в сообщение включен фальшивый идентификатор запроса. Получателя письма призывают немедленно отменить запрос, если он жив, перейдя по предоставленной ссылке.
Разумеется, такие ссылки ведут на мошеннический сайт lastpassrecovery[.]com, где жертве предлагается ввести свой мастер-пароль.
Исследователи отмечают, что в некоторых случаях атакующие даже звонили жертвам, представляясь сотрудниками LastPass, и убеждали ввести учетные данные на фишинговом ресурсе.
Особенностью этой кампании стал акцент на краже passkey. Для этих целей злоумышленники используют специализированные домены вроде mypasskey[.]info и passkeysetup[.]com.
Passkey — это современный стандарт беспарольной аутентификации на базе протоколов FIDO2/WebAuthn. Вместо обычных паролей технология использует асимметричную криптографию. Современные менеджеры паролей (включая LastPass, 1Password, Dashlane и Bitwarden) могут хранить и синхронизировать passkey между устройствами. И, как показывает практика, злоумышленники быстро адаптировались к этим изменениям.
Пользователям LastPass рекомендуется сохранять бдительность и быть внимательнее к любым письмам, связанным с запросами на наследование или экстренным доступом. Разработчики напоминают, что всегда нужно проверять URL-адреса перед вводом учетных данных, а также подчеркивают, что настоящие представители LastPass никогда не станут звонить пользователям с просьбой ввести пароль на каком-либо сайте.
По информации специалистов, за этой кампанией стоит финансово мотивированная хак-группа CryptoChameleon (она же UNC5356). Группировка специализируется на краже криптовалюты и уже атаковала пользователей LastPass в апреле 2024 года.
Новая кампания оказалась более масштабной и совершенной технически — теперь злоумышленники охотятся не только за мастер-паролями, но и за passkey.
CryptoChameleon использует специализированный фишинговый набор, нацеленный на криптокошельки Binance, Coinbase, Kraken и Gemini. В атаках группа активно эксплуатирует поддельные страницы входа в Okta, Gmail, iCloud и Outlook.
В новой кампании мошенники злоупотребляют функцией экстренного доступа к LastPass. Дело в том, что у менеджера паролей существует механизм наследования, который позволяет доверенным контактам запрашивать доступ к хранилищу в случае смерти или недееспособности владельца аккаунта. После получения такого запроса владелец учетной записи получает уведомление, и если он не отменит операцию в течение определенного периода времени, доступ к аккаунту предоставляется автоматически.
В своих письмах фишеры утверждают, что член семьи якобы запросил доступ к хранилищу жертвы, загрузив свидетельство о смерти. Для убедительности в сообщение включен фальшивый идентификатор запроса. Получателя письма призывают немедленно отменить запрос, если он жив, перейдя по предоставленной ссылке.
Разумеется, такие ссылки ведут на мошеннический сайт lastpassrecovery[.]com, где жертве предлагается ввести свой мастер-пароль.
Исследователи отмечают, что в некоторых случаях атакующие даже звонили жертвам, представляясь сотрудниками LastPass, и убеждали ввести учетные данные на фишинговом ресурсе.
Особенностью этой кампании стал акцент на краже passkey. Для этих целей злоумышленники используют специализированные домены вроде mypasskey[.]info и passkeysetup[.]com.
Passkey — это современный стандарт беспарольной аутентификации на базе протоколов FIDO2/WebAuthn. Вместо обычных паролей технология использует асимметричную криптографию. Современные менеджеры паролей (включая LastPass, 1Password, Dashlane и Bitwarden) могут хранить и синхронизировать passkey между устройствами. И, как показывает практика, злоумышленники быстро адаптировались к этим изменениям.
Пользователям LastPass рекомендуется сохранять бдительность и быть внимательнее к любым письмам, связанным с запросами на наследование или экстренным доступом. Разработчики напоминают, что всегда нужно проверять URL-адреса перед вводом учетных данных, а также подчеркивают, что настоящие представители LastPass никогда не станут звонить пользователям с просьбой ввести пароль на каком-либо сайте.