Resumen
-
El phishing sofisticado se dirige a los usuarios de LastPass a través de correos electrónicos falsos de acceso de emergencia de «herencia heredada».
-
Los atacantes utilizan páginas de inicio de sesión falsas y vishing para robar contraseñas maestras y claves de acceso almacenadas.
-
El grupo UNC5356 (CryptoChameleon) parece estar detrás de la campaña; que recuerda a la violación de LastPass y el robo de criptomonedas de 2022.
Para algunos estafadores, el phishing es un arte. A medida que la gente se pone al día con los planes, es necesario encontrar formas nuevas y novedosas de lograr que la gente caiga en ellos. Este último, dirigido en su mayor parte a los usuarios de LastPass, es bastante inteligente.
LastPass ha emitido una advertencia urgente a sus clientes sobre una nueva y sofisticada campaña de phishing diseñada para robar contraseñas maestras y, probablemente más importante, las claves de acceso de los usuarios. La campaña en sí, que aparentemente comenzó hace unas semanas, aprovecha una táctica engañosa de ingeniería social centrada en la característica de «herencia heredada» de la empresa. La infraestructura y los dominios utilizados en el ataque apuntan a CryptoChameleon, un grupo de amenazas con motivos financieros también rastreado como UNC5356.
El ataque en sí comienza con un correo electrónico de phishing enviado a los usuarios de LastPass. Este correo electrónico afirma falsamente que un miembro de la familia solicitó acceso de emergencia a su bóveda de LastPass cargando un certificado de defunción. Esta táctica está diseñada para convertir en arma la función legítima de acceso de emergencia de LastPass, que permite a una persona designada obtener acceso a la bóveda de un usuario después de un período de espera específico en caso de muerte o incapacitación del titular de la cuenta. Es una característica realmente útil en la vida real, ya que permite que miembros específicos de la familia o personas de confianza accedan a las cuentas.
Para agregar una capa de autenticidad a todo el asunto, la solicitud fabricada incluye un número de «identificación de agente» falso. El objetivo del correo electrónico, como los típicos correos electrónicos de phishing, es crear una sensación de urgencia, incitando al destinatario (que, por supuesto, no ha fallecido) a cancelar inmediatamente la solicitud fraudulenta haciendo clic en un enlace. Desde allí, como en otros ataques de phishing, se le redirige a una página de inicio de sesión falsa para LastPass, donde los usuarios renuncian a sus contraseñas maestras y se las entregan a sus atacantes. LastPass también informa que, en algunos casos, los actores de amenazas han seguido con «vishing» o phishing de voz. Según los informes, los atacantes llaman directamente a las víctimas, haciéndose pasar por miembros del personal de LastPass. Luego, estos impostores utilizan la ingeniería social por teléfono para guiar al usuario alarmado al sitio de phishing y presionarlo para que ingrese sus credenciales.
Dado que LastPass ahora almacena claves de acceso, estas están siendo el objetivo de este ataque, como lo demuestran algunos de los dominios utilizados por los atacantes.
Esta no es la primera vez que LastPass tiene un problema como este. En una importante filtración de datos de 2022, los atacantes robaron con éxito copias de seguridad cifradas de la bóveda. La violación de 2022 se relacionó posteriormente con una serie de ataques dirigidos contra individuos, lo que resultó en el robo de aproximadamente 4,4 millones de dólares en criptomonedas después de que los atacantes forzaran con éxito las contraseñas maestras de víctimas específicas.
Fuente: Computadora que suena