Киберпреступники выдают себя за сотрудников LastPass, чтобы взломать хранилища паролей компаний

LastPass предупредила о преступной кампании в отношении пользователей ряда технологических компаний при помощи фишингового набора CryptoChameleon, связанного с кражей криптовалюты.CryptoChameleon представляет собой усовершенствованный набор для фишинга, который обнаружили в 2024 году во время атак на сотрудников Федеральной комиссии по связи США, использующих специально созданные страницы единого входа Okta.Исследователи Lookout указывают, что кампания нацелена на криптовалютные платформы Binance, Coinbase, Kraken и Gemini, используя страницы, выдающие себя за Okta, Gmail, iCloud, Outlook, Twitter (X), Yahoo и AOL.LastPass выяснила, что её сервис был добавлен в комплект CryptoChameleon, а на домене help-laspass[.]com находился фишинговый сайт.Злоумышленники используют несколько методов социальной инженерии, которые включают контакт с потенциальной жертвой и выдачу себя за сотрудника LastPass, якобы пытающегося защитить учётную запись после несанкционированного доступа.Жертвам звонят с номера 888 и уведомляют о несанкционированном доступе к их аккаунту LastPass, предлагая разрешить или заблокировать доступ по нажатию «1» и «2».

После решения заблокировать пользователей информируют о необходимости дополнительного разговора для решения проблемы.Второй звонок поступает с поддельного номера.

Звонящий выдаёт себя за сотрудника LastPass и отправляет фишинговое письмо с адреса support@lastpass со ссылкой на поддельный сайт LastPass.