10月25日,据科技媒体 bleepingcomputer 报道,知名密码管理器 LastPass 已向其用户发出安全警告,提醒警惕由黑客组织 CryptoChameleon 发起的一轮新型网络钓鱼攻击。该攻击最早可追溯至10月中旬,手法极具迷惑性。
攻击者利用了 LastPass 的“遗产继承”(Emergency Access)功能,向用户发送邮件,谎称其某位家人已上传死亡证明,并申请访问其密码库。为增强欺骗性,邮件中还附带伪造的代理 ID 号,并诱导用户“若本人仍在世,请点击链接取消该请求”,从而将受害者引入预设的钓鱼陷阱。
一旦用户点击邮件中的链接,将被重定向至一个高度仿冒的虚假网站 lastpassrecovery[.]com,该页面与 LastPass 官方登录界面几乎无异。用户在输入主密码后,凭据即被攻击者窃取,导致整个密码库面临泄露风险。
值得注意的是,LastPass 透露,部分案例中攻击者还会主动致电受害者,伪装成官方客服人员,通过电话引导用户在钓鱼网站上提交凭证,形成“邮件+电话”的双重欺诈组合。
与今年4月该组织发起的攻击相比,本轮攻击不仅波及范围更广,技术手段也更为成熟。其中一个关键升级在于,攻击目标已从传统密码扩展至“通行密钥”(Passkeys)。LastPass 发现,CryptoChameleon 注册了多个专门针对通行密钥的钓鱼域名,如 mypasskey[.]info 与 passkeysetup[.]com,显示黑客已开始瞄准这种被视为更安全的无密码验证技术。
据 bleepingcomputer 介绍,CryptoChameleon(亦被标记为 UNC5356)是一个以经济利益为驱动的专业威胁组织,擅长利用钓鱼工具包窃取加密货币账户。该组织此前曾伪造 Okta、Gmail、iCloud 等服务的登录页面,成功攻击过币安、Coinbase 等多家加密货币平台的用户。
