Segundo investigações da própria empresa, o kit CryptoChameleon está sendo usado para hackear senha mestra de cofres LastPass.
CryptoChameleon é um kit de phishing avançado que foi detectado no início deste ano, visando funcionários da Federal Communications Commission (FCC) usando páginas de login único (SSO) Okta personalizadas.
Agora, a LastPass está alertando sobre uma campanha maliciosa direcionada a seus usuários com o kit de phishing CryptoChameleon associado ao roubo de criptomoedas.
CryptoChameleon está sendo usado para hackear senha mestra de cofres LastPass
Sim. O CryptoChameleon está sendo usado para hackear senha mestra de cofres LastPass.
De acordo com pesquisadores da empresa de segurança móvel Lookout, as campanhas que usaram o kit de phishing CryptoChameleon também tiveram como alvo as plataformas de criptomoeda Binance, Coinbase, Kraken e Gemini, usando páginas que se faziam passar por Okta, Gmail, iCloud, Outlook, Twitter, Yahoo e AOL.
Serviço de phishing LabHost com 40.000 domínios interrompidos, 37 presos
Durante suas investigações, o LastPass descobriu que seu serviço foi adicionado recentemente ao kit CryptoChameleon e um site de phishing foi hospedado no domínio “help-lastpass[.]com”.
O invasor combina várias técnicas de engenharia social que envolvem entrar em contato com a vítima em potencial (phishing de voz) e fingir ser um funcionário do LastPass tentando ajudar a proteger a conta após acesso não autorizado.
Abaixo estão as táticas que o LastPass observou nesta campanha:
- As vítimas recebem uma chamada de um número 888 alegando acesso não autorizado à sua conta LastPass e são solicitadas a permitir ou bloquear o acesso pressionando “1” ou “2”.
- Se optarem por bloquear o acesso, serão informados de que receberão uma ligação de acompanhamento para resolver o problema.
- Uma segunda chamada vem de um número falsificado, onde o chamador, se passando por funcionário do LastPass, envia um e-mail de phishing de “support@lastpass” com um link para o site falso do LastPass.
- Inserir a senha mestra neste site permite que o invasor altere as configurações da conta e bloqueie o usuário legítimo.
O site malicioso está agora offline, mas é muito provável que outras campanhas se sigam e os agentes da ameaça dependam de novos domínios.
Recomenda-se aos usuários do popular serviço de gerenciamento de senhas que tomem cuidado com chamadas, mensagens ou e-mails suspeitos que alegam vir do LastPass e que pedem ação imediata.
Alguns indicadores de comunicação suspeita desta campanha incluem e-mails com o assunto “Estamos aqui para ajudá-lo” e o uso de um serviço de URL encurtado para links na mensagem. Os usuários devem denunciar essas tentativas ao LastPass em abuse@lastpass.com.
Independentemente do serviço, a senha mestra não deve ser compartilhada com ninguém, pois é a chave para todas as suas informações confidenciais.