Hackers usam mortes falsas para roubar passwords do LastPass

Hackers estão a usar uma técnica curiosa para roubarem passwords do LastPass, usando pedidos falsos de falecimento do utilizador para obterem acesso aos "cofres" do serrviço.

A LastPass está a alertar os utilizadores para uma nova campanha de phishing que tenta enganá-los com falsos pedidos de acesso por "motivos de falecimento", com o objetivo de roubar palavras-passe e passkeys.

A campanha começou em meados de Outubro e foi associada ao grupo CryptoChameleon (UNC5356), conhecido por ataques com fins financeiros. Este grupo utiliza páginas falsas que imitam serviços como Okta, Gmail, iCloud e Outlook, roubando credenciais ligadas a plataformas de criptomoedas como Binance, Coinbase, Kraken e Gemini. Não é a primeira vez que os utilizadores da LastPass são visados, em Abril de 2024 o mesmo grupo já tinha lançado um ataque semelhante, mas esta nova vaga é mais sofisticada e agora também tenta roubar passkeys e não apenas passwords.

Os emails falsos informam as vítimas de que um familiar solicitou acesso ao cofre LastPass, alegando ter enviado um certificado de óbito. A mensagem pede ao utilizador que clique num link para cancelar o pedido "caso ainda esteja vivo". O link conduz a um site fraudulento - lastpassrecovery[.]com - criado para roubar credenciais. Em alguns casos, os atacantes chegaram a telefonar às vítimas, fingindo ser funcionários da LastPass e orientando-as de forma a introduzirem os dados na página falsa.

Segundo a LastPass, os atacantes também estão a usar domínios como mypasskey[.]info e passkeysetup[.]com para tentarem obter passkeys. A empresa reforça o alerta para que os utilizadores só confiem em comunicações enviadas a partir de domínios lastpass.com, lembrando que os gestores de passwords modernos, por acumularem a maioria (ou totalidade) das passwords e credenciais dos utilizadores, são um alvo cada vez mais desejado pelos cibercriminosos.