LastPass, eski miras sürecinin bir parçası olarak şifre kasasına erişim isteği içeren e-postalar gönderen bir kimlik avı kampanyası konusunda müşterilerini uyarıyor.
Faaliyet Ekim ayının ortasında başladı ve kullanılan alanlar ve altyapı, CryptoChameleon (UNC5356) adı verilen, finansal motivasyona sahip bir tehdit grubuna işaret ediyor.
CryptoChamemelon, sahte Okta, Gmail, iCloud ve Outlook oturum açma sayfalarını kullanarak Binance, Coinbase, Kraken ve Gemini dahil birden fazla cüzdanı hedef alan, kripto para hırsızlığı konusunda uzmanlaşmış bir kimlik avı kiti kullanıyor.
LastPass kullanıcıları Nisan 2024'te tekrar aynı grup tarafından hedeflendi, ancak en yeni kampanyanın daha kapsamlı ve geliştirilmiş olduğu ve artık şifre anahtarlarını da hedeflediği görülüyor.
LastPass kullanıcılarına gönderilen kimlik avı e-postaları, bir aile üyesinin ölüm sertifikası yükleyerek LastPass kasalarına erişim istediğini iddia ediyor.
LastPass'ın miras süreci, hesap sahipleri tarafından belirlenen kişilerin ölüm veya iş göremezlik durumunda kasalarına erişim talep etmelerine olanak tanıyan bir acil erişim özelliğidir.
Böyle bir talep açıldığında hesap sahibine bir e-posta gönderilir ve bekleme süresi dolduktan sonra ilgili kişiye otomatik olarak erişim izni verilir.
Uydurma eski talep, daha fazla meşruiyet sağlamak için alıcının harekete geçmesini ve ölmemişse bir bağlantıya tıklayarak talebi iptal etmesini isteyen bir temsilci kimlik numarası içerir.
Ancak bağlantı onları, kurbanın ana şifresini girebileceği bir giriş formu içeren lastpassrecovery[.]com'daki sahte bir sayfaya yönlendiriyor.
LastPass, bazı durumlarda tehdit aktörünün LastPass personeli gibi davranan kurbanları aradığını ve kimlik avı sitesine kimlik bilgilerini girmeleri için onları yönlendirdiğini söylüyor.
Şirket, kullanıcılarını hedef alan CryptoChameleon saldırısındaki temel unsurlardan birinin, kullanıcıların geçiş anahtarlarını çalma girişimlerini gösteren mypasskey[.]info ve passkeysetup[.]com gibi geçiş anahtarı odaklı kimlik avı alanlarının kullanılması olduğunu söylüyor.
Geçiş anahtarları, ezberlenmiş parolalar yerine asimetrik şifreleme kullanan, FIDO2/WebAuthn protokollerini temel alan, parolasız bir kimlik doğrulama standardıdır.
LastPass, 1Password, Dashlane ve Bitwarden gibi modern şifre yöneticileri artık geçiş anahtarlarını cihazlar arasında saklıyor ve senkronize ediyor; tehdit aktörleri de bunları doğrudan hedeflemeye başladı.
2022'de LastPass, saldırganların şifrelenmiş kasa yedeklerini çaldığı büyük bir veri ihlaline maruz kaldı. Olay, ardından gelen hedefli saldırılarla bağlantılıydı ve kripto para biriminde yaklaşık 4,4 milyon dolarlık kayıpla sonuçlandı.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Sahte LastPass ve Bitwarden ihlal uyarıları bilgisayar korsanlığına yol açıyor
GitHub bildirimleri, kripto hırsızlığı için Y Combinator'ı taklit etmek amacıyla kötüye kullanıldı
Yeni CoPhish saldırısı, Copilot Studio aracıları aracılığıyla OAuth tokenlarını çaldı
İranlı bilgisayar korsanları Phoenix arka kapısıyla 100'den fazla devlet kuruluşunu hedef aldı
Sahte 'Enflasyon İadesi' metinleri yeni dolandırıcılıkla New Yorkluları hedef alıyor
Kaynak: Bleeping Computer