LastPass met en garde contre une campagne malveillante ciblant ses utilisateurs avec le kit de phishing CryptoChameleon associé au vol de crypto-monnaie.

CryptoChameleon est un kit de phishing avancé qui a été repéré plus tôt cette année, ciblant les employés de la Federal Communications Commission (FCC) à l’aide de pages d’authentification unique (SSO) Okta personnalisées.

Selon des chercheurs de la société de sécurité mobile Lookout, les campagnes utilisant ce kit de phishing ciblaient également les plateformes de crypto-monnaie Binance, Coinbase, Kraken et Gemini, en utilisant des pages qui se faisaient passer pour Okta, Gmail, iCloud, Outlook, Twitter, Yahoo et AOL.

Au cours de ses enquêtes, LastPass a découvert que son service avait récemment été ajouté au kit CryptoChameleon et qu’un site de phishing était hébergé sur le site « help-lastpass [.] com  » domaine.

L’attaquant combine plusieurs techniques d’ingénierie sociale qui impliquent de contacter la victime potentielle (hameçonnage vocal) et de se faire passer pour un employé de LastPass essayant d’aider à sécuriser le compte suite à un accès non autorisé.

Voici les tactiques LastPass observées dans cette campagne:

  1. Les victimes reçoivent un appel d’un numéro 888 réclamant un accès non autorisé à leur compte LastPass et sont invitées à autoriser ou bloquer l’accès en appuyant sur « 1 » ou « 2 ».
  2. S’ils choisissent de bloquer l’accès, on leur dit qu’ils recevront un appel de suivi pour résoudre le problème.
  3. Un deuxième appel provient d’un numéro usurpé, où l’appelant, se faisant passer pour un employé de LastPass, envoie un e-mail de phishing depuis « support@lastpass » avec un lien vers le faux site LastPass.
  4. La saisie du mot de passe principal sur ce site permet à l’attaquant de modifier les paramètres du compte et de verrouiller l’utilisateur légitime.

Le site Web malveillant est maintenant hors ligne, mais il est très probable que d’autres campagnes suivront et que les auteurs de menaces s’appuieront sur de nouveaux domaines.

Il est recommandé aux utilisateurs du populaire service de gestion des mots de passe de se méfier des appels téléphoniques, messages ou e-mails suspects prétendant provenir de LastPass et demandant une action immédiate.

Certains indicateurs de communication suspecte de cette campagne incluent des courriels avec le sujet « Nous sommes là pour vous » et l’utilisation d’un service d’URL raccourci pour les liens dans le message. Les utilisateurs doivent signaler ces tentatives à LastPass à [email protected].

Quel que soit le service, le mot de passe principal ne doit être partagé avec personne car c’est la clé de toutes vos informations sensibles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *