LastPassは、レガシー継承プロセスの一環としてパスワード保管庫へのアクセスリクエストを含むフィッシングメールが送信されているとして、顧客に警告しています。

この活動は10月中旬に始まり、使用されたドメインやインフラは、CryptoChameleon（UNC5356）と呼ばれる金銭目的の脅威グループを示しています。

CryptoChameleonは暗号通貨の窃盗を専門とするフィッシングキットを使用しており、Binance、Coinbase、Kraken、Geminiなど複数のウォレットを、偽のOkta、Gmail、iCloud、Outlookのサインインページで標的にしています。

LastPassユーザーは、2024年4月にも同じグループに標的にされましたが、最新のキャンペーンはさらに大規模かつ強化されており、今度はパスキーも標的にしています。

LastPassユーザーに送信されたフィッシングメールは、家族の誰かが死亡証明書をアップロードしてLastPass保管庫へのアクセスをリクエストしたと主張しています。

LastPassの継承プロセスは、アカウント保持者が指定した個人が死亡や無能力の場合に保管庫へのアクセスをリクエストできる緊急アクセス機能です。

このようなリクエストが開始されると、アカウント保持者にメールが届き、待機期間が終了すると自動的に連絡先にアクセスが付与されます。

偽の継承リクエストには、信憑性を高めるためにエージェントID番号が含まれており、受信者に対し、自分が死亡していない場合はリンクをクリックしてキャンセルするよう促します。

しかし、そのリンクは被害者をlastpassrecovery[.]com上の偽のページにリダイレクトし、そこにはマスターパスワードを入力するログインフォームがあります。

LastPassによると、場合によっては脅威アクターがLastPassスタッフを装って被害者に電話し、フィッシングサイトで認証情報を入力するよう指示したこともあったといいます。

同社によれば、CryptoChameleonによる攻撃の重要な要素のひとつは、mypasskey[.]infoやpasskeysetup[.]comといったパスキーに特化したフィッシングドメインの使用であり、ユーザーのパスキーを盗もうとする試みを示しています。

パスキーはFIDO2 / WebAuthnプロトコルに基づくパスワードレス認証規格で、記憶されたパスワードの代わりに非対称暗号を使用します。

LastPass、1Password、Dashlane、Bitwardenなどの最新のパスワードマネージャーは、パスキーをデバイス間で保存・同期できるようになっており、脅威アクターはそれらを直接標的にし始めています。

2022年、LastPassは大規模なデータ侵害を受け、攻撃者が暗号化された保管庫のバックアップを盗みました。この事件はその後の標的型攻撃と関連付けられており、約440万ドル相当の暗号通貨の損失につながりました。