LastPass memperingatkan pelanggan tentang kampanye phishing yang mengirimkan email berisi permintaan akses ke brankas kata sandi sebagai bagian dari proses pewarisan warisan.
Aktivitas tersebut dimulai pada pertengahan Oktober, dan domain serta infrastruktur yang digunakan mengarah pada kelompok ancaman bermotivasi finansial yang disebut KriptoBunglon (UNC5356).
CryptoChamemelon menggunakan kit phishing yang berspesialisasi dalam pencurian mata uang kripto, menargetkan beberapa dompet termasuk Binance, Coinbase, Kraken, dan Gemini, menggunakan halaman masuk Okta, Gmail, iCloud, dan Outlook palsu.
Pengguna LastPass ditargetkan oleh kelompok yang sama lagi pada bulan April 2024Tetapi kampanye terbaru tampaknya lebih luas dan ditingkatkan, kini menargetkan kunci sandi juga.
Email phishing yang dikirim ke pengguna LastPass mengklaim bahwa anggota keluarga meminta akses ke brankas LastPass mereka dengan mengunggah sertifikat kematian.
Sumber: LastPass
Proses pewarisan LastPass adalah fitur akses darurat yang memungkinkan individu yang ditunjuk oleh pemegang akun untuk meminta akses ke brankas mereka jika terjadi kematian atau ketidakmampuan.
Ketika permintaan tersebut dibuka, pemegang akun menerima email, dan setelah masa tunggu berakhir, akses secara otomatis diberikan ke kontak tersebut.
Permintaan warisan yang dibuat-buat menyertakan nomor ID agen untuk menambah legitimasi, yang mendorong penerima untuk mengambil tindakan dan membatalkannya jika mereka belum meninggal dengan mengeklik tautan.
Namun, tautan tersebut mengarahkan mereka ke halaman palsu pemulihan pass terakhir[.]com yang menampilkan formulir login di mana korban dapat memasukkan kata sandi utama mereka.
LastPass mengatakan bahwa dalam beberapa kasus, pelaku ancaman memanggil korban dengan menyamar sebagai staf LastPass dan mengarahkan mereka untuk memasukkan kredensial mereka di situs phishing.
Perusahaan mengatakan bahwa salah satu elemen kunci dalam serangan CryptoChameleon yang menargetkan penggunanya adalah penggunaan domain phishing yang berfokus pada kunci sandi seperti kunci sandi saya[.]info Dan pengaturan kunci sandi[.]comyang menunjukkan upaya untuk mencuri kunci sandi pengguna.
Kunci sandi adalah standar autentikasi tanpa kata sandi berdasarkan protokol FIDO2 / WebAuthn, menggunakan kriptografi asimetris, bukan kata sandi yang diingat.
Pengelola kata sandi modern seperti LastPass, 1Password, Dashlane, dan Bitwarden kini menyimpan dan menyinkronkan kunci sandi di seluruh perangkat, dan pelaku ancaman sudah mulai menargetkannya secara langsung.
Pada tahun 2022, LastPass mengalami pelanggaran data besar yang melibatkan penyerang mencuri cadangan brankas terenkripsi. Insiden itu terkait dengan serangan yang ditargetkan berikutnya, mengakibatkan kerugian sekitar $4,4 juta dalam mata uang kripto.
