Компания LastPass предупредила пользователей о продолжающейся фишинговой кампании, в которой злоумышленники рассылают поддельные уведомления безопасности и перенаправляют получателей на мошеннические сайты.
Письма оформлены так, чтобы выглядеть как официальные корпоративные сообщения. В них говорится об обновлении политики безопасности и предлагается перейти на страницу, имитирующую сервис DocuSign, якобы для ознакомления с документом.
LastPass подчеркивает, что ее системы не были взломаны, а фишинговые письма не отправлялись с инфраструктуры компании. При этом злоумышленники используют домены, названия которых похожи на адреса официальных сервисов LastPass.
Письма отправляются с адреса hello@lastpassnewsletter.com. В них пользователям сообщают о якобы изменившихся правилах работы LastPass, включая расширенный мониторинг SaaS-сервисов, возможность сброса мастер-пароля администраторами и улучшения панели управления.

После нажатия кнопки Review & Access Terms пользователь попадает на сайт, который имитирует DocuSign – популярный сервис для отправки, подписания и управления электронными документами. Однако страница размещена на домене lastpasscompliance[.]com. Microsoft Defender для Office 365 и Cloudflare уже пометили его как вредоносный.

LastPass не смогла подтвердить конечную цель кампании. Однако компания сообщила, что поддельный сайт предлагает пользователям скачать файл, который якобы поддерживает Windows и macOS. На сайте также доступен чат со службой поддержки, но неизвестно, работает ли он на самом деле. На момент публикации вредоносный ресурс уже был отключен.
Аналогичные письма получают и пользователи Bitwarden. Они отправляются с адреса hello@bitwardennewsletter.com и перенаправляют жертв на домен bitwardencompliance[.]com.

В марте LastPass уже предупреждал о поддельных уведомлениях о несанкционированном доступе к аккаунтам. Злоумышленники имитировали переписку со службой поддержки, чтобы усилить чувство срочности и вынудить пользователей раскрыть данные. А в январе пользователям LastPass рассылали ложные предупреждения о необходимости создать резервную копию хранилища в течение 24 часов якобы из-за предстоящих технических работ.
LastPass подчеркивает, что никогда не запрашивает мастер-пароль. Подозрительные письма компания рекомендует пересылать на адрес abuse@lastpass.com.
Пользователям, которые ввели данные на фишинговых сайтах, следует немедленно изменить мастер-пароль с доверенного устройства и проверить содержимое хранилища на наличие подозрительной активности.