Cybercriminals pose as LastPass staff to hack password vaults
2024/04/18 BleepingComputer — 暗号通貨窃盗をサポートする CryptoChameleon フィッシング・キットによりユーザーを狙うという、悪質なキャンペーンが展開されていると、LastPass が警告している。CryptoChameleon は、2024年の初めに発見された高度なフィッシング・キットであり、カスタムメイドの Okta Single Sign-On (SSO) ページを用いて、連邦通信委員会 (FCC:Federal Communications Commission) の職員をターゲットにしていた。
モバイル・セキュリティ企業 Lookout の研究者たちによると、このフィッシング・キットを用いるキャンペーンは、暗号通貨プラットフォームの Binance/Coinbase/Kraken/Gemini も標的にしており、Okta/Gmail/iCloud/Outlook/Twitter/Yahoo/AOL などを装うページを使っていたという。
最近の LastPass の調査において発見されたのは、同社のサービスが CryptoChameleon キットに追加され、フィッシング・サイトが “help-lastpass[.]com” ドメインでホストされていたことである。
攻撃者たちは、ボイス・フィッシングなどの複数のソーシャル・エンジニアリングのテクニックを組み合わせて、潜在的な被害者にコンタクトを取り、LastPass の従業員を装うことで不正アクセスを行い、その後のアカウントの安全性を確保しようとしていたという。
LastPass が発見したのは、このキャンペーンで、以下の手口が用いられていたことだ:
- 被害者たちの LastPass アカウントが、不正アクセスを受けたと主張する、フリーダイヤルからの電話が掛かってくる。それを受けた被害者は、”1″ または “2” を押して、アクセスを許可またはブロックするよう求められる。
- 受信者がアクセスをブロックすることを選択した場合は、問題解決のためのフォローアップの電話がかかってくると告げられる。
- その後に、LastPass を装う2度目の電話が掛かってくる。発信者は LastPass の従業員であることを名乗り、”support@lastpass” から、受信者のアカウントへのアクセスをリセットすると偽り、偽の URL を記載したフィッシング・メールを送信する。
- このサイトでマスター・パスワードを入力すると、攻撃者はアカウント設定を変更し、正規ユーザーである受信者はロックアウトされてしまう。
現時点では、悪意のサイトはオフラインになっている。しかし、脅威アクターが別のドメインを悪用して、別のキャンペーンを展開する可能性は高いとされる。LastPass の利用者は、同サービスを装いながら、早急な対応を促す不審な電話/メッセージ/メールに注意する必要がある。
このキャンペーンにおける不審な通信の指標としては、”We’re here for you” という件名のメールや、リンクに短縮 URL サービスを使用しているメッセージなどが挙げられる。これらの試みを発見したユーザーは、abuse@lastpass.com を介して LastPass に報告できる。
どのようなサービスであっても、マスター・パスワードは、すべての機密情報への鍵であるため、誰とも共有すべきではない。
CryptoChameleon というフィッシング・キットですが、FCC の職員をターゲットにしていたようです。そこでは、Okta/Gmail/iCloud/Outlook/Twitter/Yahoo/AOL などを装うページが用いられ、各種の暗号通貨プラットフォームが標的にされているとのことです。ご利用の方は、ご注意ください。よろしければ、LastPass で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.