Uma nova e sofisticada campanha de phishing está a visar os utilizadores dos populares gestores de palavras-passe LastPass e Bitwarden. Através de emails falsos que alegam uma falha de segurança, os atacantes convencem as vítimas a instalar uma suposta versão mais segura do software, que na realidade instala uma ferramenta de acesso remoto para tomar controlo do computador.
O engodo da falsa falha de segurança
A campanha de phishing, que parece ter começado durante o fim de semana para atrasar a deteção, utiliza táticas de engenharia social para criar um sentido de urgência. Os emails, bastante bem elaborados, afirmam que as empresas foram alvo de um ciberataque e que os utilizadores precisam de instalar uma nova aplicação de desktop mais segura.
No caso do LastPass, os emails fraudulentos explicam que "os atacantes exploraram fraquezas em instalações .exe mais antigas" e que, por isso, é necessário instalar um novo cliente que substitui o formato desatualizado. A LastPass já veio a público esclarecer que não sofreu qualquer ataque e que se trata de uma tentativa de fraude.
Os utilizadores do Bitwarden receberam mensagens semelhantes, com o mesmo estilo de escrita e o mesmo engodo, incitando-os a descarregar uma nova aplicação segura. Atualmente, o acesso a estas páginas fraudulentas está a ser bloqueado pela Cloudflare, que as identifica como tentativas de phishing.
O que acontece realmente ao seu computador
Ao contrário do que os emails alegam, o ficheiro descarregado não é uma atualização do gestor de palavras-passe. Trata-se de um instalador do Syncro, uma ferramenta legítima de monitorização e gestão remota (RMM) usada por profissionais de TI, que está a ser abusada pelos atacantes.
O malware instala o agente da plataforma Syncro de forma oculta, sem que o utilizador se aperceba. O principal objetivo é usar esta ferramenta para instalar o ScreenConnect, um software de suporte e acesso remoto que dá aos atacantes controlo total sobre o dispositivo da vítima.
Uma vez com acesso, os criminosos podem instalar mais malware, roubar dados e, potencialmente, aceder aos cofres de palavras-passe guardados no sistema. A configuração do agente Syncro é mínima e desativa soluções de segurança como Emsisoft, Webroot e Bitdefender para não ser detetado.
Recentemente, também foi detetada uma campanha separada contra utilizadores do 1Password, com emails falsos a alertar para contas comprometidas, embora com indicadores e métodos ligeiramente diferentes.
Como proteger-se desta ameaça
É crucial que os utilizadores de gestores de palavras-passe ignorem por completo este tipo de alertas. As empresas de segurança comunicam incidentes importantes através dos seus canais oficiais, como blogues e comunicados de imprensa.
Não clique em links suspeitos: Nunca descarregue software a partir de links recebidos por email.
Verifique as fontes oficiais: Em caso de dúvida, aceda sempre ao site oficial do seu gestor de palavras-passe para confirmar qualquer alerta de segurança.
Nunca partilhe a sua palavra-passe mestra: Nenhuma empresa legítima lhe pedirá a sua palavra-passe principal.
A melhor defesa contra estas ameaças continua a ser a desconfiança e a verificação cuidadosa de qualquer comunicação inesperada que apele a uma ação urgente.
Nenhum comentário
Seja o primeiro!