28/10/25
Письма рассылаются от поддельного адреса «alerts@lastpass[.]com» с темой «Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)». Получателям сообщают, будто кто-то из родственников открыл запрос на доступ к их хранилищу паролей, предоставив фальшивое свидетельство о смерти. Жертву призывают «отменить запрос» по индивидуальной ссылке, ведущей на поддельный сайт https://lastpassrecovery[.]com, где предлагается ввести мастер-пароль.
Помимо рассылки, злоумышленники применяют переговоры: жертвам звонят люди, представляющиеся сотрудниками LastPass, и убеждают перейти по поддельной ссылке.
Согласно данным Google Threat Intelligence, инфраструктура кампании связана с хостингом NICENIC, который ранее использовался для прикрытия фишинговых операций CryptoChameleon, пишут в Securitylab. Те же серверы применяются для поддельных страниц, имитирующих популярные криптобиржи и сервисы, включая Coinbase, Binance, Gemini и Gmail. По сути, злоумышленники выстраивают целую сеть сайтов, предназначенных для сбора логинов, токенов и данных восстановления, связанных с криптоаккаунтами и паролями пользователей.
Особое внимание исследователи обратили на то, что часть ресурсов направлена на кражу passkey-учётных данных — нового формата аутентификации без паролей. В наборе обнаружено множество доменов, вроде «mypasskey[.]info», что указывает на растущий интерес преступников к технологиям беспарольного входа и их активному внедрению среди пользователей.
LastPass сообщила, что предприняла меры для блокировки первичных сайтов-приманок и продолжает мониторинг инфраструктуры атаки. Компания призывает игнорировать подозрительные письма, сообщения и звонки, не переходить по ссылкам и не вводить мастер-пароль вне официального домена. О подозрительных контактах можно сообщать на abuse@lastpass.com.
