LastPass предупредила о преступной кампании в отношении пользователей ряда технологических компаний при помощи фишингового набора CryptoChameleon, связанного с кражей криптовалюты.
CryptoChameleon представляет собой усовершенствованный набор для фишинга, который обнаружили в 2024 году во время атак на сотрудников Федеральной комиссии по связи США, использующих специально созданные страницы единого входа Okta.
Исследователи Lookout указывают, что кампания нацелена на криптовалютные платформы Binance, Coinbase, Kraken и Gemini, используя страницы, выдающие себя за Okta, Gmail, iCloud, Outlook, Twitter (X), Yahoo и AOL.
LastPass выяснила, что её сервис был добавлен в комплект CryptoChameleon, а на домене help-laspass[.]com находился фишинговый сайт.
Злоумышленники используют несколько методов социальной инженерии, которые включают контакт с потенциальной жертвой и выдачу себя за сотрудника LastPass, якобы пытающегося защитить учётную запись после несанкционированного доступа.
Жертвам звонят с номера 888 и уведомляют о несанкционированном доступе к их аккаунту LastPass, предлагая разрешить или заблокировать доступ по нажатию «1» и «2». После решения заблокировать пользователей информируют о необходимости дополнительного разговора для решения проблемы.
Второй звонок поступает с поддельного номера. Звонящий выдаёт себя за сотрудника LastPass и отправляет фишинговое письмо с адреса support@lastpass со ссылкой на поддельный сайт LastPass. Введение пароля на этом сайте позволяет злоумышленникам изменить настройки аккаунта и заблокировать законного владельца.
Сейчас вредоносный сайт отключили от сети. Однако существует вероятность, что за первой последуют и другие кампании, в рамках которых злоумышленники будут использовать новые домены.
Пользователей LastPass предупредили о подозрительных звонках, сообщениях и электронных письмах, которые якобы отправила сама компания. Об этих попытках LastPass рекомендует сообщать по адресу abuse@lastpass.com.
Источник: habr.com