Фішингова кампанія атакує користувачів LastPass

25.10.2025 1 хвилин Автор: Newsman

Менеджер паролів LastPass попереджає про нову хвилю фішингових атак, у яких шахраї надсилають листи з нібито «запитом на доступ» до паролів через смерть власника. Зловмисники видають себе за представників компанії та змушують користувачів вводити свої майстер-паролі на фальшивих сторінках. Кампанія стартувала в середині жовтня й пов’язана з відомим угрупованням CryptoChameleon (UNC5356) — фішинг-групою, яка спеціалізується на крадіжці криптовалют. ʼ

Використовуючи підроблені домени, зловмисники надсилають користувачам листи з темою:

> «Ваш родич надіслав запит на спадковий доступ до вашого LastPass-вольта».

У повідомленні міститься фіктивний ідентифікатор агента і посилання для «скасування запиту». Після переходу жертва потрапляє на сайт lastpassrecovery[.]com, де її просять ввести майстер-пароль.

Phishing message sent by CryptoChameleon — Фішингове повідомлення, надіслане CryptoChameleon

За словами LastPass, у деяких випадках хакери навіть телефонували клієнтам, видаючи себе за співробітників служби підтримки. У новій кампанії також з’явились доменні імена, орієнтовані на passkey (наприклад, *mypasskey[.]info*, *passkeysetup[.]com*), що свідчить про спроби викрасти дані нової безпарольної авторизації FIDO2/WebAuthn.

Раніше, у 2024 році, CryptoChameleon вже атакувало користувачів LastPass, але зараз операція стала масштабнішою й технологічно складнішою — тепер метою стали не лише паролі, а й ключі доступу (passkeys).
Функція «спадковий доступ» у LastPass — це легітимна опція, що дозволяє передати вміст паролів довіреній особі після смерті власника. Зловмисники використали цю ідею, щоб надати листам вигляд офіційності.
LastPass не вперше стає ціллю — у 2022 році компанія зазнала масштабного зламу, під час якого було викрадено зашифровані резервні копії вольтів. Тоді втрати користувачів оцінювались у понад $4,4 млн у криптовалюті.

CryptoChameleon, окрім LastPass, також атакує користувачів Binance, Coinbase, Kraken і Gemini, створюючи реалістичні копії сторінок Okta, Gmail, iCloud, Outlook — усе з метою виманювання облікових даних. Ця атака показує, наскільки фішинг став персоналізованим — хакери імітують процедури спадкування, телефонують користувачам і навіть маскують сайти під системи двофакторної автентифікації. LastPass радить ніколи не переходити за посиланнями з листів, що стосуються «доступу до вольта», і завжди перевіряти адресу сайту вручну через офіційний портал. Загалом ця кампанія — чергове нагадування: навіть ті, хто користується менеджерами паролів, не захищені від соціальної інженерії.