Используете менеджер паролей? Значит, мастер-пароль — главная мишень. Один клик — и вся цифровая жизнь украдена

В последние недели участились фишинговые кампании, в которых злоумышленники маскируются под популярные менеджеры паролей — LastPass, Bitwarden и 1Password. Их цель — заставить пользователей раскрыть главный пароль, открывающий доступ ко всем учётным данным, включая корпоративные системы. Сценарий атак строится на доверии: ведь такие сервисы считаются надёжным хранилищем всей цифровой идентичности.

Пользователи LastPass и Bitwarden стали получать поддельные письма с уведомлениями о якобы произошедшем взломе сервисов. Адресаты убеждаются загрузить «новую безопасную версию» настольного приложения, которая на деле устанавливает легитимный инструмент удалённого администрирования (RMM) Syncro, применяемый провайдерами IT-услуг для поддержки клиентов. Через этот агент злоумышленники затем внедряют другое ПО — ScreenConnect, обеспечивающее полный контроль над заражёнными устройствами.

Согласно официальному предупреждению LastPass, компания не подвергалась взлому, а письма представляют собой типичный пример социальной инженерии. Фальшивые сообщения рассылаются с доменов вроде «hello@lastpasspulse[.]blog» и «hello@lastpasjournal[.]blog», а их содержание построено на правдоподобных формулировках об «уязвимых .exe-установщиках» и необходимости перейти на «новый формат MSI». В письмах утверждается, будто старые версии могли позволить получить доступ к закэшированным данным хранилища паролей, поэтому пользователям «из предосторожности» предлагается скачать новую сборку. Рассылка стартовала в праздничные выходные (Columbus Day), что, вероятно, должно было замедлить реакцию команд безопасности из-за сокращённого штата.

Bitwarden оказался втянут в ту же схему. От имени «hello@bitwardenbroadcast[.]blog» пользователям отправлялись письма, идентичные по стилю и содержанию, с предложением установить «усовершенствованное» десктопное приложение. Cloudflare уже блокировал переходы на мошеннические страницы, отмечая их как фишинговые.

Специалисты проанализировали бинарные файлы, вложенные в рассылку, и установили, что они полностью идентичны. RMM-агент Syncro запускается с параметрами, скрывающими значок в системном трее, чтобы пользователь не заметил новый процесс. Конфигурация программы минимальна: она связывается с сервером каждые 90 секунд, не включает встроенные функции удалённого доступа и не активирует другие RMM-средства, такие как Splashtop или TeamViewer. Более того, она отключает антивирусные агенты Emsisoft, Webroot и Bitdefender, оставляя систему без защиты.

Основная цель установки — загрузка и запуск ScreenConnect, который открывает злоумышленникам путь к удалённому управлению устройством, внедрению вредоносов и краже учётных данных, включая доступ к зашифрованным хранилищам. Отдельная волна фишинга затронула пользователей 1Password. С конца сентября рассылались уведомления с темой «Ваш пароль скомпрометирован», отправленные с адреса «watchtower@eightninety[.]com». Переход по ссылке вёл на сайт «onepass-word[.]com» через редирект Mandrillapp, где предлагалось ввести секретный ключ и мастер-пароль. Специалисты Malwarebytes подтвердили, что эта кампания не связана с атаками на LastPass и Bitwarden напрямую, но использует ту же психологию страха и доверия.

Все компании подчёркивают: они никогда не запрашивают у пользователей мастер-пароль и не рассылают обновления через письма. Проверять уведомления о безопасности следует только на официальных сайтах и в блогах. 16 октября разработчики Syncro также выступили с заявлением. По их словам, платформа не была взломана — злоумышленник зарегистрировался как ложный MSP-партнёр и использовал систему легитимной установки для вредоносных целей. Аккаунты нарушителя были заблокированы, а все установки через них прекращены.