Újabb adathalász kampány célozza a LastPass és Bitwarden felhasználóit

A LastPass egy olyan adathalász kampányra figyelmeztette a felhasználóit, amely hamis biztonsági értesítésekkel próbálja rosszindulatú weboldalakra irányítani az áldozatokat. Az adathalász e-maileket úgy alakították ki, hogy megtévesztésig hasonlítsanak a vállalat hivatalos kommunikációjára. A levelek frissített biztonsági szabályzatokról tájékoztatják a címzetteket, majd egy, a DocuSign felületét utánzó weboldalra irányítják őket, ahol azt állítják, hogy egy dokumentum vár felülvizsgálatra.

A LastPass hangsúlyozta, hogy rendszereit nem érte biztonsági incidens, és a megtévesztő e-mailek nem a vállalat infrastruktúrájáról származnak annak ellenére, hogy a támadók olyan domaineket használnak, amelyek legitim vállalati szolgáltatásoknak tűnnek.

A „hello@lastpassnewsletter[.]com” címről érkező üzenetek megtévesztő módon a LastPass-szolgáltatás szabályzatának állítólagos módosításairól tájékoztatják a felhasználókat. A felsorolt változtatások között szerepel a SaaS-szolgáltatások fejlettebb monitorozása, a rendszergazdák számára elérhető mesterjelszó-visszaállítási lehetőségek, valamint az adminisztrációs felület továbbfejlesztései.

1. ábra Rosszindulatú e-mail forrás: BleepingComputer

Az e-mailben található „Review & Access Terms” gombra kattintva a felhasználók egy olyan weboldalra jutnak, amely a dokumentumok elektronikus küldésére, aláírására és kezelésére széles körben használt DocuSign felületét utánozza. Az oldal azonban a lastpasscompliance[.]com domaint használja, amelyet több biztonsági szolgáltatás is rosszindulatúként jelölt meg.

2. ábra kép Hamis DocuSign weboldal forrás: LastPass

Bár a LastPass nem tudta megerősíteni a kampány pontos célját, a vállalat szerint a hamis weboldal egy olyan fájl letöltésére próbálja rávenni a felhasználókat, amely állítólag Windows és macOS rendszereken egyaránt futtatható. Az oldalon egy élő ügyfélszolgálati chatfelület is elérhető, de nem ismert, hogy valóban működőképes-e. A cikk írásának időpontjában a rosszindulatú weboldal már nem volt elérhető.

A BleepingComputer szerint a Bitwarden felhasználóit is hasonló adathalász e-mailekkel célozzák. Ezek a „hello@bitwardennewsletter[.]com” címről érkeznek, és a bitwardencompliance[.]com oldalra irányítják a címzetteket.

3. ábra A Bitwarden felhasználóit célzó adathalász e-mail forrás: BleepingComputer

A LastPass ismét felhívta a figyelmet arra, hogy a vállalat soha nem kéri el a felhasználók mesterjelszavát, és arra kérte az érintetteket, hogy minden gyanús üzenetet jelentsenek az abuse@lastpass.com címen.

Azoknak a felhasználóknak, akik vélhetően valamelyik adathalász oldalon megadták hitelesítési adataikat, a vállalat az javasolja, hogy mielőbb változtassák meg mesterjelszavukat egy megbízható eszközről, majd vizsgálják át jelszókezelőjüket, hogy észlelhető-e benne gyanús tevékenység.

(bleepingcomputer.com)