Uma nova e sofisticada campanha de phishing está a visar os utilizadores do gestor de passwords LastPass, recorrendo a um engenhoso esquema de engenharia social que explora um falso processo de herança. O alerta foi dado pela própria empresa, que atribui os ataques ao grupo cibercriminoso CryptoChameleon (UNC5356), conhecido pelo seu foco no roubo de criptomoedas.
A campanha, que se intensificou desde meados de outubro, representa uma evolução perigosa nos métodos do grupo, que já tinha visado o serviço em abril de 2024. Desta vez, o objetivo não é apenas a password mestra, mas também as mais recentes passkeys.
Como funciona o ataque do CryptoChameleon
O ataque começa com um email fraudulento que informa o utilizador de que um familiar solicitou acesso de emergência ao seu cofre LastPass, alegando a sua morte ou incapacidade e anexando uma suposta certidão de óbito. O processo de herança é uma funcionalidade legítima do LastPass que, após um período de espera, concede acesso a um contacto previamente designado.
Para dar um ar mais credível, o email falso inclui um número de identificação de agente e incita a vítima a clicar num link para cancelar o pedido, caso não esteja, de facto, falecida. Esse link, no entanto, redireciona para uma página fraudulenta, onde é solicitado que a vítima introduza a sua password mestra.
Numa escalada da tática, a LastPass alertou no seu blogue oficial que, em alguns casos, os atacantes chegam a telefonar às vítimas, fazendo-se passar por funcionários da empresa para as convencer a inserir as suas credenciais no site malicioso.
A nova fronteira do ataque: o roubo de passkeys
Um dos aspetos mais alarmantes desta nova campanha é o foco nas passkeys.
As passkeys, baseadas nos protocolos FIDO2/WebAuthn, utilizam criptografia assimétrica e são vistas como o futuro da segurança digital. Os principais gestores de passwords, incluindo o LastPass, já oferecem a capacidade de armazenar e sincronizar estas chaves entre dispositivos, tornando-os um alvo valioso para os cibercriminosos.
Um histórico preocupante
Este incidente recorda a grave fuga de dados que o LastPass sofreu em 2022, na qual os atacantes conseguiram roubar cópias de segurança encriptadas dos cofres dos utilizadores. Esse evento foi posteriormente ligado a ataques direcionados que resultaram em perdas de aproximadamente 4,4 milhões de dólares (cerca de 4,1 milhões de euros) em criptomoedas.
Os utilizadores do LastPass devem estar extremamente atentos a qualquer comunicação inesperada sobre o acesso de herança e verificar sempre a autenticidade dos emails e sites antes de introduzir qualquer informação.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech