حذرت شركة LastPass المستخدمين من حملة تصيد إلكتروني واسعة تستغل ميزة الوصول الطارئ في المنصة، عبر إرسال رسائل بريد إلكتروني تدعي أن أحد أفراد العائلة طلب الوصول إلى خزينة كلمات المرور بسبب وفاة صاحب الحساب.
بدأت هذه الهجمة في منتصف أكتوبر الجاري، وتشير البنية التحتية والعناوين المستخدمة فيها إلى مجموعة التهديد المالي المعروفة باسم CryptoChameleon، والمعرّفة في الأوساط الأمنية تحت الرمز UNC5356.
تستخدم المجموعة حزمة تصيد متطورة تستهدف محافظ العملات الرقمية مثل Binance وCoinbase وKraken وGemini، عبر صفحات تسجيل دخول مزيفة تحاكي منصات Okta وGmail وiCloud وOutlook. واستهدفت سابقاً مستخدمي LastPass في أبريل 2024، إلا أن الحملة الحالية أكثر تعقيداً واتساعاً، وتشمل هذه المرة محاولات لسرقة مفاتيح الدخول Passkeys أيضاً.
تستغل الحملة ميزة الوصول الموروث في LastPass، وهي خاصية تتيح منح أفراد محددين من العائلة أو الثقة إمكانية الوصول إلى خزينة المستخدم في حالات الوفاة أو العجز. عند تفعيل هذه الميزة فعلياً، يرسل النظام بريداً إلكترونياً لصاحب الحساب لإعلامه بطلب الوصول، ويمنحه مهلة زمنية يمكن خلالها رفض الطلب، وإلا فسيمنح الوصول تلقائياً للطرف الآخر.
أما في النسخة المزيفة من الهجوم، فتتضمن الرسالة الإلكترونية رقماً تعريفياً وهمياً للطلب لإضفاء المصداقية، وتحث المستخدم على إلغاء الطلب فوراً إن لم يكن هو المتوفى، عبر النقر على رابط مرفق. غير أن الرابط يقود إلى موقع مزيف يحمل عنوان lastpassrecovery[.]com، يحتوي على نموذج تسجيل دخول يطلب من الضحية إدخال كلمة المرور الرئيسية.
تؤكد LastPass أن المهاجمين في بعض الحالات اتصلوا بالمستخدمين هاتفياً مدّعين أنهم موظفون في الشركة، لتوجيههم مباشرة إلى الموقع الاحتيالي وإقناعهم بإدخال بياناتهم.
من العناصر اللافتة في هجوم CryptoChameleon استخدام نطاقات موجهة خصيصاً لسرقة مفاتيح الدخول مثل mypasskey[.]info وpasskeysetup[.]com، ما يشير إلى تطور أساليبهم نحو استهداف أنظمة المصادقة الحديثة.
تعتبر مفاتيح الدخول Passkeys معياراً حديثاً للمصادقة دون كلمات مرور، يعتمد على بروتوكولات FIDO2 وWebAuthn باستخدام التشفير غير المتماثل بدلاً من الكلمات المحفوظة. وتخزنها وتزامنها عبر الأجهزة برامج إدارة كلمات المرور الحديثة مثل LastPass و1Password وDashlane وBitwarden، ما جعلها هدفاً جديداً لجماعات القرصنة.
تأتي هذه الحملة في ظل استمرار تداعيات الاختراق الكبير الذي تعرضت له LastPass عام 2022، حين تمكن المهاجمون من سرقة نسخ احتياطية مشفرة من خزائن المستخدمين، وهو الحادث الذي ارتبط لاحقاً بهجمات استهدفت عملاء محددين وأدت إلى خسائر تقدّر بـ4.4 ملايين دولار من العملات الرقمية.
تحذر LastPass عملاءها من الاستجابة لأي رسائل تدعي طلبات وصول موروثة دون التحقق المباشر من لوحة التحكم الرسمية، مؤكدة أن جميع الطلبات الشرعية تدار حصراً من داخل التطبيق وليس عبر روابط بريدية. كما نصحت بتفعيل المصادقة المتعددة العوامل (MFA) ومراقبة أي نشاط غير اعتيادي في الحسابات.
