LastPass, noto servizio di password manager, ha recentemente pubblicato un avviso di sicurezza riguardante una campagna malevola che prende di mira i suoi utenti: il cuore di questa attività è il kit di phishing CryptoChameleon, uno strumento avanzato associato al furto di criptovalute.
Originariamente individuato all’inizio dell’anno, CryptoChameleon ha dimostrato la sua pericolosità aggirando le difese di dipendenti della Federal Communications Commission (FCC) sfruttando pagine del servizio di Single Sign-on (SSO) di Okta falsificate ad arte.
Secondo quanto riferito dai ricercatori di Lookout, azienda specializzata in sicurezza mobile, il kit è stato impiegato in attacchi verso piattaforme di criptovaluta quali Binance, Coinbase, Kraken e Gemini. Gli aggressori hanno creato pagine che riproducono l’aspetto di servizi noti come Okta, Gmail, iCloud, Outlook, Twitter, Yahoo e AOL, con l’intento di ingannare le vittime.
Nel corso delle sue indagini, LastPass ha scoperto che anche il suo servizio è stato recentemente incluso nel kit CryptoChameleon, con un sito di phishing ospitato su un dominio, “help-lastpass[.]com”, che imita quello ufficiale di LastPass.
Indice degli argomenti
Le tecniche di inganno di CryptoChameleon
In particolare, la campagna malevola osservata da LastPass si avvale di una serie di tecniche di social engineering, tra cui il vishing, ovvero il phishing tramite chiamata vocale, durante il quale gli aggressori si spacciano per dipendenti LastPass con l’intento di “assistere” le vittime in seguito ad un accesso non autorizzato al loro account.
In questa intricata truffa, le vittime ricevono innanzitutto una chiamata da un numero che inizia con il prefisso 888, durante la quale viene segnalato un accesso non autorizzato al loro account LastPass.
Successivamente, con la promessa di una chiamata di follow-up per risolvere il problema, le vittime vengono indotte a cliccare su un link inviato tramite e-mail, che le reindirizza verso un sito fasullo dove l’inserimento della password principale consente agli aggressori di prendere il controllo dell’account.
Raccomandazioni per gli utenti
Sebbene il sito malevolo sia stato messo offline, è probabile che campagne simili possano ripresentarsi, impiegando nuovi domini per perpetrare l’attacco.
Agli utenti del servizio di gestione delle password viene quindi raccomandato di prestare la massima attenzione a chiamate, messaggi o email sospette che sembrano provenire da LastPass e che richiedono azioni immediate.
Tra i possibili indizi che potrebbero far sospettare che si tratti di comunicazioni sospette, si segnalano e-mail con oggetto “We’re here for you” e l’uso di servizi di URL accorciati per i link nei messaggi.
Si consiglia, infine, di segnalare tentativi di phishing all’indirizzo abuse@lastpass.com e di ricordare che la password principale di accesso a LastPass (la cosiddetta master password), essendo la chiave di accesso a tutte le informazioni sensibili, non deve quanto più robusta possibile e non deve mai essere condivisa.
