Cмерть — не повод забыть пароли. Пользователи LastPass в прицеле новой мошеннической схемы

leer en español

LastPass CryptoChameleon фишинг социальная инженерия криптовалюта passkey
Cмерть — не повод забыть пароли. Пользователи LastPass в прицеле новой мошеннической схемы
LastPass CryptoChameleon фишинг социальная инженерия криптовалюта passkey

Когда LastPass сообщает о вашей смерти — лучше не кликать.

image

Крупная фишинговая кампания, нацеленная на пользователей LastPass и клиентов криптовалютных бирж, началась в середине октября и получила распространение под видом официальных уведомлений сервиса. Компания LastPass предупредила, что за атакой стоит группировка CryptoChameleon (UNC5356), известная по кражам криптовалют через социальную инженерию и поддельные сайты восстановления доступа.

Письма рассылаются от поддельного адреса «alerts@lastpass[.]com» с темой «Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)». Получателям сообщают, будто кто-то из родственников открыл запрос на доступ к их хранилищу паролей, предоставив фальшивое свидетельство о смерти. В письме указывается вымышленный номер дела, «агент» и приоритет обработки, создавая иллюзию официального обращения. Жертву призывают «отменить запрос» по индивидуальной ссылке, ведущей на поддельный сайт https://lastpassrecovery[.]com, где предлагается ввести мастер-пароль. В тексте письма также содержится попытка убедить получателя, что сообщение пришло с настоящего адреса LastPass, а завершается оно фразой о том, что «безопасность — главный приоритет» и «никогда не делитесь паролем».

Помимо рассылки, злоумышленники применяют прямой контакт: жертвам звонят люди, представляющиеся сотрудниками LastPass, и убеждают перейти по поддельной ссылке. Этот элемент телефонного давления делает кампанию особенно убедительной и повышает её эффективность.

Согласно данным Google Threat Intelligence, инфраструктура кампании связана с хостингом NICENIC, который ранее использовался для прикрытия фишинговых операций CryptoChameleon. Те же серверы применяются для поддельных страниц, имитирующих популярные криптобиржи и сервисы, включая Coinbase, Binance, Gemini и Gmail. По сути, злоумышленники выстраивают целую сеть сайтов, предназначенных для сбора логинов, токенов и данных восстановления, связанных с криптоаккаунтами и паролями пользователей.

Особое внимание исследователи обратили на то, что часть ресурсов направлена на кражу passkey-учётных данных — нового формата аутентификации без паролей. В наборе обнаружено множество доменов, вроде «mypasskey[.]info», что указывает на растущий интерес преступников к технологиям беспарольного входа и их активному внедрению среди пользователей.

LastPass сообщила, что предприняла меры для блокировки первичных сайтов-приманок и продолжает мониторинг инфраструктуры атаки. Компания призывает игнорировать подозрительные письма, сообщения и звонки, не переходить по ссылкам и не вводить мастер-пароль вне официального домена. О подозрительных контактах можно сообщать на abuse@lastpass.com.

Кампания CryptoChameleon демонстрирует, как мошенники всё чаще используют комбинацию визуальной подделки, психологического давления и многоуровневого взаимодействия — от e-mail до телефонных звонков — чтобы обойти внимательность пользователей и завладеть их цифровыми активами.