LastPass ha alertado de una campaña de ‘phishing‘ dirigida contra los usuarios de su servicio de gestión de contraseñas, con quienes contactan los cibercriminales para dirigirles a una página web falsa con el objetivo de robar su contraseña maestra.
Un actor malicioso está utilizando la marca de LastPass para engañar a los usuarios de este servicio, a quienes dirige a una web falsa creada con el kit de ‘phishing’ CryptoChameleon. Este ofrece a los estafadores las herramientas necesarias para crear una web prácticamente idéntica a la que suplanta, con sus logotipos, gráficos y ventanas de inicio de sesión.
Las potenciales víctimas recibían una llamada, un mensaje SMS o un correo electrónico, aparentemente procedentes de LastPass, que les alertaba de un acceso a su cuenta desde otro dispositivo y les instaba a indicar si lo permitían o no.
En el caso de la llamada, si rechazaban conceder el permiso de acceso, recibían hasta dos llamadas más de supuestos representantes de LastPass para proceder a enviarles un correo electrónico que incluía un enlace desde el que resetear la contraseña.
Este enlace, en realidad, llevaba a la página web falsa que estaba diseñada para robar las credenciales de acceso y la contraseña maestra de la víctima. Si esta última se introducía, el actor malicioso entonces podía intentar acceder a la cuenta y cambiar la configuración para hacerse con su control.
LastPass ha recordado en una entrada en su blog oficial que ellos nunca solicitan la contraseña maestra. También ha informado de que ha conseguido cerrar la página principal desde la que se lanza la campaña de ‘phishing’, pero ha advertido de que el kit sigue estando disponible, y por ello han isntado a los usuarios de su servicio a ignorar las comunicaciones similares y notificarles los intentos de contacto que reciban por parte de los estafadores.
