Resumo
- O phishing sofisticado tem como alvo os usuários do LastPass por meio de e-mails falsos de “herança herdada” de acesso de emergência.
- Os invasores usam páginas de login falsas e vishing para roubar senhas mestras e chaves de acesso armazenadas.
- O grupo UNC5356 (CryptoChameleon) parece estar por trás da campanha; uma reminiscência da violação do LastPass de 2022 e do roubo de criptografia.
Para alguns golpistas, o phishing é uma arte. À medida que as pessoas se atualizam nos esquemas, elas precisam encontrar maneiras novas e inovadoras de fazer com que as pessoas caiam nos seus esquemas. Este último, voltado principalmente para usuários do LastPass, é realmente muito inteligente.
LastPass emitiu um alerta urgente aos seus clientes sobre uma nova e sofisticada campanha de phishing projetada para roubar senhas mestras e, provavelmente mais importante, as chaves de acesso dos usuários. A campanha em si, que aparentemente começou há algumas semanas, aproveita uma tática enganosa de engenharia social centrada no recurso de “herança herdada” da empresa. A infraestrutura e os domínios usados no ataque apontam para o CryptoChameleon, um grupo de ameaças com motivação financeira também rastreado como UNC5356.
O ataque em si começa com um e-mail de phishing enviado aos usuários do LastPass. Este e-mail afirma falsamente que um membro da família solicitou acesso de emergência ao cofre do LastPass enviando uma certidão de óbito. Essa tática foi projetada para transformar o recurso legítimo de acesso de emergência do LastPass, que permite que um indivíduo designado obtenha acesso ao cofre de um usuário após um período de espera especificado no caso de morte ou incapacitação do titular da conta. É um recurso genuinamente útil na vida real, pois permite que membros específicos da família ou pessoas de confiança acessem contas.
Para adicionar uma camada de autenticidade a tudo, a solicitação fabricada inclui um número falso de “ID do agente”. O objetivo do e-mail, como os típicos e-mails de phishing, é criar um senso de urgência, levando o destinatário – que, claro, não é falecido – a cancelar imediatamente a solicitação fraudulenta clicando em um link. A partir daí, como em outros ataques de phishing, você é redirecionado para uma página de login falsa do LastPass, onde os usuários entregam suas senhas mestras e as entregam aos invasores. O LastPass também relata que, em alguns casos, os agentes da ameaça seguiram com “vishing” ou phishing de voz. Os invasores supostamente ligam diretamente para as vítimas, se passando por membros da equipe do LastPass. Esses impostores então usam engenharia social por telefone para guiar o usuário alarmado ao site de phishing e pressioná-lo a inserir suas credenciais.
Como o LastPass agora armazena chaves de acesso, elas estão sendo alvo deste ataque, como evidenciado por alguns dos domínios usados pelos invasores.
Esta não é a primeira vez que o LastPass enfrenta um problema como este. Uma grande violação de dados em 2022 viu os invasores roubarem com sucesso backups de cofres criptografados. A violação de 2022 foi posteriormente associada a uma série de ataques direcionados contra indivíduos, resultando no roubo de aproximadamente US$ 4,4 milhões em criptomoedas depois que os invasores forçaram com sucesso as senhas mestras de vítimas específicas.
Fonte: Computador Bleeping
