Пользователей LastPass и Bitwarden атакуют поддельными письмами

2026-07-15 135 комментарии
Злоумышленники рассылают поддельные письма от имени LastPass и Bitwarden, перенаправляя пользователей на фальшивые сайты, маскирующиеся под DocuSign. LastPass заявила, что ее системы не взломаны, и призвала не вводить мастер-пароль на сторонних ресурсах

Компания LastPass предупредила пользователей о продолжающейся фишинговой кампании, в которой злоумышленники рассылают поддельные уведомления безопасности и перенаправляют получателей на мошеннические сайты.

Письма оформлены так, чтобы выглядеть как официальные корпоративные сообщения. В них говорится об обновлении политики безопасности и предлагается перейти на страницу, имитирующую сервис DocuSign, якобы для ознакомления с документом.

LastPass подчеркивает, что ее системы не были взломаны, а фишинговые письма не отправлялись с инфраструктуры компании. При этом злоумышленники используют домены, названия которых похожи на адреса официальных сервисов LastPass.

Письма отправляются с адреса hello@lastpassnewsletter.com. В них пользователям сообщают о якобы изменившихся правилах работы LastPass, включая расширенный мониторинг SaaS-сервисов, возможность сброса мастер-пароля администраторами и улучшения панели управления.

Фишинговое письмо от имени LastPassФишинговое письмо от имени LastPass. Источник: BleepingComputer

После нажатия кнопки Review & Access Terms пользователь попадает на сайт, который имитирует DocuSign – популярный сервис для отправки, подписания и управления электронными документами. Однако страница размещена на домене lastpasscompliance[.]com. Microsoft Defender для Office 365 и Cloudflare уже пометили его как вредоносный.

Поддельный сайт, имитирующий DocuSignПоддельный сайт, имитирующий DocuSign. Источник: LastPass

LastPass не смогла подтвердить конечную цель кампании. Однако компания сообщила, что поддельный сайт предлагает пользователям скачать файл, который якобы поддерживает Windows и macOS. На сайте также доступен чат со службой поддержки, но неизвестно, работает ли он на самом деле. На момент публикации вредоносный ресурс уже был отключен.

Аналогичные письма получают и пользователи Bitwarden. Они отправляются с адреса hello@bitwardennewsletter.com и перенаправляют жертв на домен bitwardencompliance[.]com.

Фишинговое письмо для пользователей BitwardenПисьмо, нацеленное на пользователей Bitwarden. Источник: BleepingComputer

В марте LastPass уже предупреждал о поддельных уведомлениях о несанкционированном доступе к аккаунтам. Злоумышленники имитировали переписку со службой поддержки, чтобы усилить чувство срочности и вынудить пользователей раскрыть данные. А в январе пользователям LastPass рассылали ложные предупреждения о необходимости создать резервную копию хранилища в течение 24 часов якобы из-за предстоящих технических работ.

LastPass подчеркивает, что никогда не запрашивает мастер-пароль. Подозрительные письма компания рекомендует пересылать на адрес abuse@lastpass.com.

Пользователям, которые ввели данные на фишинговых сайтах, следует немедленно изменить мастер-пароль с доверенного устройства и проверить содержимое хранилища на наличие подозрительной активности.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте