La empresa LastPass ha emitido una advertencia sobre una nueva campaña de phishing dirigida a sus usuarios, vinculada al grupo financiero CryptoChameleon (UNC5356), que ya atacó previamente a la plataforma. El engaño se centra en la simulación de un proceso legítimo de solicitud de acceso a la bóveda por parte de un familiar (legacy request) mediante un certificado de defunción.
Engaño de Legacy Access y Robo de Passkeys
Esta campaña explota la sensibilidad emocional del usuario y los procesos de recuperación de acceso, apuntando no solo a la contraseña maestra, sino también a métodos de autenticación más modernos.
Mecanismo del phishing
- Cebo Emocional: El correo de phishing llega con un mensaje oficial, como “Solicitante de herencia #12345”, aprovechando el proceso legítimo de acceso de emergencia/herencia de LastPass.
- Redirección a Sitio Falso: Al hacer clic en el enlace, la víctima es llevada a una página falsa ( ej.,lastpassrecovery[.]com ) donde se le solicita ingresar su contraseña maestra de LastPass .
- Phishing de Voz: Alternativamente, el atacante puede realizar una llamada de “soporte de LastPass” para pedir a la víctima que ingrese sus credenciales o que ejecute un enlace de “cancelar solicitud de herencia”.
- Evolución a Passkeys : El actor ha creado dominios de phishing dirigidos al robo de Passkeys (autenticación sin contraseña, basada en FIDO2/WebAuthn), con URL como mypaskey[.]info. Esto indica que el grupo se está adaptando al uso de credenciales de autenticación más modernas.
Riesgos críticos
- Impacto máximo: La bóveda de LastPass contiene las credenciales de múltiples servicios críticos y claves de acceso administrativo. Si se compromete la contraseña maestra o una clave de acceso, el impacto puede ser devastador.
- Suplantación Legítima: La campaña utiliza un vector poco común (solicitud de herencia) que le otorga una gran sensación de legitimidad, reduciendo la sospecha del usuario.
- Salto de Barreras: El objetivo de robar claves de acceso es crítico, ya que comprometer este tipo de credencial significa saltarse la barrera tradicional de la contraseña en servicios que confía en FIDO2.
Recomendaciones
Para Usuarios Individuales
- Verificación externa: Nunca ingrese la contraseña maestra en enlaces recibidos por correo que no se esperaban. Si recibes una “solicitud de herencia”, verifica primero con la persona que supuestamente la envió o contacta directamente a LastPass a través de sus canales oficiales.
- MFA Fuerte: Activa la Autenticación Multifactor (MFA) en tu cuenta de LastPass y en todos los servicios críticos. Se recomienda el uso de aplicaciones de autenticación o tokens de hardware sobre el SMS.
- Legacy Access: Revisar y auditar el panel de “Accesos de emergencia / Legacy access ” en LastPass y eliminar personas o contactos designados que ya no corresponden.
- Vigilancia de Phishing : Verificar dominios y URLs cuidadosamente. Si el sitio parece legítimo pero la URL es dudosa (ej., con terminaciones como .com, .info, .net en lugar de la original), no ingresar credenciales.
Para Administradores de TI / Equipos de Seguridad
- Políticas de Cuentas de Emergencia: Si la organización utiliza gestores de contraseñas, implemente políticas de cuentas de emergencia (acceso heredado) limitadas y revisadas periódicamente.
- Alertas de Acceso Anómalo: Configurar alertas de seguridad para inicios de sesión no habituales en cuentas de gestión de contraseñas (acceso desde ubicaciones geográficas novedosas o dispositivos nuevos).
- Formación Específica: Educar a los usuarios con formación específica sobre phishing que simula “solicitudes de herencia” o “reclamaciones de contraseña”, ya que este es un vector menos común pero altamente efectivo.
- Auditoría: Revisar los logs de acceso al gestor de contraseñas para detectar actividad sospechosa y considerar auditorías de seguridad adicionales para cuentas de alto privilegio.
