Разработчики LastPass предупредили о масштабной фишинговой операции, стартовавшей в середине октября 2025 года. Злоумышленники рассылают письма с правдоподобными уведомлениями об «экстренном доступе» к хранилищу паролей, прикрываясь якобы оформленным наследованием из‑за смерти владельца. Цель — вынудить получателя перейти по ссылке и ввести мастер‑пароль либо согласовать действия, которые откроют путь к учетным данным и криптоактивам.
Кто за атакой: профиль группы и мотивация
По данным специалистов, кампанию ведет финансово мотивированная группа CryptoChameleon (UNC5356), ранее замеченная в атаках на пользователей LastPass весной 2024 года. В текущей волне злоумышленники расширили инструментарий и масштабы, ориентируясь не только на мастер‑пароли, но и на passkey — ключи беспарольной аутентификации на базе FIDO2/WebAuthn, которые все активнее применяются в современных менеджерах паролей.
Вектор атаки: имитация экстренного доступа и фишинговые лэндинги
Злоупотребление механизмом наследования LastPass
В LastPass существует функция наследования/экстренного доступа: доверенный контакт может запросить доступ к хранилищу в случае смерти или недееспособности владельца. Если владелец не отменит запрос в заданный срок, доступ предоставляется автоматически. Атакующие подделывают уведомления такого типа, добавляя «идентификатор запроса» и утверждая, что родственник якобы загрузил свидетельство о смерти. Получателя побуждают «немедленно отменить операцию» по ссылке.
Поддельные домены и социальная инженерия
Ссылки ведут на фишинговые ресурсы вроде lastpassrecovery[.]com, где жертве предлагают ввести мастер‑пароль, а также на домены, ориентированные на перехват passkey, например mypasskey[.]info и passkeysetup[.]com. Исследователи отмечают применение многоходовой социальной инженерии: в ряде случаев злоумышленники дозваниваются до жертв, представляясь сотрудниками LastPass, и убеждают авторизоваться на поддельных страницах.
Охота за криптовалютой и учетными данными
CryptoChameleon использует специализированный фишинговый набор, направленный на владельцев криптокошельков Binance, Coinbase, Kraken и Gemini. Для сбора учетных данных и обхода корпоративной защиты применяются фальшивые страницы входа в Okta, Gmail, iCloud и Outlook. Такой подход позволяет атакующим комбинировать компрометацию личных и рабочих аккаунтов, углубляя доступ в цифровую экосистему жертвы и повышая шанс на монетизацию.
Почему прицел на passkey: что важно знать
Passkey — это схема беспарольной аутентификации, основанная на асимметричной криптографии (FIDO2/WebAuthn). Приватный ключ остается на устройстве, а сервис проверяет подпись. Многие менеджеры паролей (LastPass, 1Password, Dashlane, Bitwarden) уже поддерживают хранение и синхронизацию passkey. Атакующие адаптируются: вместо «взлома» криптографии они стремятся перехватить процесс входа через фишинг и социальную инженерию, направляя пользователя на поддельный веб‑интерфейс и принуждая выполнить действие подтверждения.
Как распознать атаку и защититься
— Внимательно проверяйте URL перед вводом любых данных. Официальные домены LastPass не содержат дополнительных слов и нетипичных суффиксов. Подозрительные ресурсы часто маскируются под «восстановление», «настройку» и «безопасность».
— Не переходите по ссылкам из писем об «экстренном доступе». Зайдите в LastPass самостоятельно, вручную набрав адрес, и проверьте уведомления в интерфейсе аккаунта.
— Представители LastPass не звонят с просьбой ввести пароль или подтвердить операцию на стороннем сайте. Любые такие звонки — признак социальной инженерии.
— Включите и строго соблюдайте многофакторную аутентификацию на всех критичных сервисах. MFA снижает риск компрометации при утечке пароля или ошибке пользователя.
— Обучайте себя и команду распознаванию фишинга. Отчеты отрасли (например, Verizon DBIR 2024 и сводки FBI IC3) последовательно фиксируют, что фишинг остается одним из наиболее распространенных векторов первоначального доступа.
Маскировка под процедурный механизм экстренного доступа делает кампанию убедительной для широкой аудитории — от частных пользователей до сотрудников компаний с SSO/IdP. Усиленная нацеленность на passkey показывает, что злоумышленники оперативно перестраивают методы под новые стандарты аутентификации. Пользователям LastPass следует сохранять бдительность, подтверждать любые критичные действия только через официальный интерфейс и регулярно пересматривать настройки безопасности, включая список доверенных контактов и параметры наследования. Если получили подозрительное письмо или звонок, не взаимодействуйте с ними — напрямую обратитесь в поддержку LastPass и сообщите об инциденте.
