Name: Tremplin Numérique
Price range: $$$

Résumé

Un phishing sophistiqué cible les utilisateurs de LastPass via de faux e-mails d'accès d'urgence « d'héritage hérité ».
Les attaquants utilisent de fausses pages de connexion et vishing pour voler les mots de passe principaux et les clés d'accès stockées.
Le groupe UNC5356 (CryptoChameleon) semble être à l'origine de la campagne ; qui rappelle la violation LastPass de 2022 et le vol de crypto.

Pour certains escrocs, le phishing est un art. À mesure que les gens rattrapent leur retard en matière de régimes, ils doivent trouver de nouvelles façons d’inciter les gens à adhérer à leurs régimes. Ce dernier, destiné pour la plupart aux utilisateurs de LastPass, est en fait assez intelligent.

LastPass a lancé un avertissement urgent à ses clients concernant une nouvelle campagne de phishing sophistiquée conçue pour voler les mots de passe principaux et, probablement plus important encore, les clés d'accès des utilisateurs. La campagne elle-même, qui a apparemment débuté il y a quelques semaines, exploite une tactique d'ingénierie sociale trompeuse centrée sur la fonctionnalité « héritage hérité » de l'entreprise. L'infrastructure et les domaines utilisés dans l'attaque pointent vers CryptoChameleon, un groupe de menace à motivation financière également suivi sous le nom d'UNC5356.

L'attaque elle-même commence par un e-mail de phishing envoyé aux utilisateurs de LastPass. Cet e-mail prétend faussement qu'un membre de la famille a demandé un accès d'urgence à son coffre-fort LastPass en téléchargeant un certificat de décès. Cette tactique est conçue pour militariser la fonction légitime d'accès d'urgence de LastPass, qui permet à une personne désignée d'accéder au coffre-fort d'un utilisateur après une période d'attente spécifiée en cas de décès ou d'incapacité du titulaire du compte. Il s'agit d'une fonctionnalité véritablement utile dans la vie réelle, car elle permet à des membres spécifiques de la famille ou à des personnes de confiance d'accéder à des comptes.

Pour ajouter une couche d'authenticité à l'ensemble, la demande fabriquée comprend un faux numéro « d'identification d'agent ». Le but de l'e-mail, comme celui des e-mails de phishing classiques, est de créer un sentiment d'urgence, incitant le destinataire (qui n'est bien sûr pas décédé) à annuler immédiatement la demande frauduleuse en cliquant sur un lien. À partir de là, comme dans d'autres attaques de phishing, vous êtes redirigé vers une fausse page de connexion pour LastPass, où les utilisateurs abandonnent leurs mots de passe principaux et les transmettent à leurs attaquants. LastPass rapporte également que dans certains cas, les auteurs de la menace ont eu recours au « vishing » ou phishing vocal. Les attaquants auraient appelé directement les victimes, se faisant passer pour des membres du personnel de LastPass. Ces imposteurs utilisent ensuite l'ingénierie sociale par téléphone pour guider l'utilisateur alarmé vers le site de phishing et le pousser à saisir ses informations d'identification.

Étant donné que LastPass stocke désormais les mots de passe, ceux-ci sont ciblés dans le cadre de cette attaque, comme en témoignent certains des domaines utilisés par les attaquants.

Ce n'est pas la première fois que LastPass rencontre un problème comme celui-ci. Une violation de données majeure en 2022 a vu des attaquants réussir à voler des sauvegardes chiffrées de coffre-fort. La violation de 2022 a ensuite été liée à une série d’attaques ciblées contre des individus, entraînant le vol d’environ 4,4 millions de dollars en crypto-monnaie après que les attaquants ont réussi à forcer brutalement les mots de passe principaux de victimes spécifiques.