LastPass, eski miras sürecinin bir parçası olarak şifre kasasına erişim isteği içeren e-postalar gönderen bir kimlik avı kampanyası konusunda müşterilerini uyarıyor.
Faaliyet Ekim ayı ortasında başladı ve kullanılan alanlar ve altyapı, CryptoChameleon (UNC5356) adı verilen finansal motivasyonlu bir tehdit grubuna işaret ediyor.
CryptoChamemelon, sahte Okta, Gmail, iCloud ve Outlook oturum açma sayfalarını kullanarak Binance, Coinbase, Kraken ve Gemini dahil birden fazla cüzdanı hedef alan, kripto para hırsızlığı konusunda uzmanlaşmış bir kimlik avı kiti kullanıyor.
LastPass kullanıcıları Nisan 2024’te yine aynı grup tarafından hedef alındı, ancak en yeni kampanya daha kapsamlı ve gelişmiş görünüyor; artık şifre anahtarlarını da hedefliyor.
LastPass kullanıcılarına gönderilen kimlik avı e-postaları, bir aile üyesinin ölüm sertifikası yükleyerek LastPass kasalarına erişim istediğini iddia ediyor.
Kaynak: LastPass
LastPass’ın miras süreci, hesap sahipleri tarafından belirlenen kişilerin ölüm veya iş göremezlik durumunda kasalarına erişim talep etmelerine olanak tanıyan bir acil erişim özelliğidir.
Böyle bir talep açıldığında hesap sahibine bir e-posta gönderilir ve bekleme süresi dolduktan sonra ilgili kişiye otomatik olarak erişim izni verilir.
Uydurma eski talep, daha fazla meşruiyet sağlamak için alıcının harekete geçmesini ve ölmemişse bir bağlantıya tıklayarak talebi iptal etmesini isteyen bir temsilci kimlik numarası içerir.
Ancak bağlantı onları sahte bir sayfaya yönlendiriyor. son geçiş kurtarma[.]iletişim kurbanın ana şifresini girebileceği bir giriş formu içeren.
LastPass, bazı durumlarda tehdit aktörünün LastPass personeli gibi davranan kurbanları aradığını ve kimlik avı sitesine kimlik bilgilerini girmeleri için onları yönlendirdiğini söylüyor.
Şirket, kullanıcılarını hedef alan CryptoChameleon saldırısındaki temel unsurlardan birinin, aşağıdaki gibi geçiş anahtarı odaklı kimlik avı alanlarının kullanılması olduğunu söylüyor: şifrem[.]bilgi Ve şifre kurulumu[.]iletişimkullanıcıların geçiş anahtarlarını çalma girişimlerini gösterir.
Geçiş anahtarları, ezberlenmiş parolalar yerine asimetrik şifreleme kullanan, FIDO2/WebAuthn protokollerini temel alan, parolasız bir kimlik doğrulama standardıdır.
LastPass, 1Password, Dashlane ve Bitwarden gibi modern şifre yöneticileri artık geçiş anahtarlarını cihazlar arasında saklıyor ve senkronize ediyor; tehdit aktörleri bunları doğrudan hedeflemeye başladı.
2022’de LastPass, saldırganların şifrelenmiş kasa yedeklerini çaldığı büyük bir veri ihlaline maruz kaldı. Olay, ardından gelen hedefli saldırılarla bağlantılıydı ve kripto para biriminde yaklaşık 4,4 milyon dolarlık kayıpla sonuçlandı.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.