(https://i.imgur.com/kW9tER7.jpeg)
Una nueva campaña de phishing está apuntando directamente a los usuarios de los administradores de contraseñas LastPass y Bitwarden, utilizando correos electrónicos falsos que simulan alertas de seguridad legítimas.
El objetivo de estos mensajes es engañar a los usuarios para que descarguen una versión de escritorio supuestamente más segura, la cual en realidad instala software de acceso remoto utilizado por ciberdelincuentes para comprometer los sistemas.
Correos falsos que simulan alertas de seguridadDe acuerdo con el medio especializado BleepingComputer, los correos electrónicos informan falsamente sobre un supuesto hackeo a LastPass o Bitwarden. En ellos, los atacantes afirman que las empresas fueron "pirateadas" y que los usuarios deben descargar una nueva aplicación de escritorio para proteger su información.
El enlace incluido en estos correos dirige a una descarga maliciosa que instala Syncro MSP, una herramienta legítima de monitoreo y administración remota (RMM, por sus siglas en inglés) utilizada normalmente por proveedores de servicios gestionados (MSP). Sin embargo, los actores de amenazas están aprovechando Syncro para implementar el software de acceso remoto ScreenConnect, con el fin de controlar los dispositivos de las víctimas sin que estas lo noten.
LastPass niega cualquier brecha de seguridadAnte el aumento de reportes, LastPass emitió una alerta oficial confirmando que no ha sufrido ningún incidente de ciberseguridad. La empresa advirtió que se trata de un intento de ingeniería social cuidadosamente diseñado para generar urgencia y engañar a los usuarios.
Citar"Para ser claros, LastPass no ha sido hackeado. Este es un intento de un actor malicioso de llamar la atención y generar una sensación de urgencia, una táctica común en los ataques de phishing", aclaró la compañía.
La campaña habría comenzado durante el fin de semana del Día de Colón, aprovechando la menor vigilancia de los equipos de seguridad durante los días festivos.
Los correos fraudulentos provienen de direcciones como hello@lastpasspulse[.]blog y hello@lastpasjournal[.]blog, e incluyen un mensaje convincente que explica que LastPass ha desarrollado una versión MSI de su aplicación de escritorio para reemplazar "instalaciones .EXE obsoletas" con supuestas vulnerabilidades.
Bitwarden también bajo ataqueLa campaña no se limita a LastPass. Usuarios de Bitwarden también están siendo blanco de correos falsos con el mismo diseño y tono de urgencia.
En este caso, los mensajes provienen de direcciones como
[email protected] e informan de un supuesto incidente de seguridad, recomendando la instalación de una "aplicación cliente más segura".
Cloudflare ya ha bloqueado las páginas de destino incluidas en estos correos y las ha marcado como intentos de phishing activos, evitando que los usuarios puedan acceder a los sitios maliciosos.
Syncro MSP y ScreenConnect: herramientas legítimas, uso maliciosoEl análisis técnico realizado por BleepingComputer confirmó que las muestras distribuidas en ambas campañas son idénticas.
El binario descargado instala el agente de Syncro MSP con parámetros ocultos, eliminando el icono del área de notificación para evitar que el usuario detecte la presencia del software.
El único propósito de esta instalación es desplegar ScreenConnect (ahora conocido como ConnectWise Control), una herramienta de soporte remoto que los atacantes utilizan para acceder a los sistemas de las víctimas.
Una vez instalada, esta permite transferir archivos, ejecutar comandos, robar datos y potencialmente acceder a las bóvedas de contraseñas almacenadas.
Además, el agente está configurado para comunicarse con el servidor cada 90 segundos, sin mostrar indicios visibles de actividad.
Los archivos de configuración analizados también desactivan los agentes de Emsisoft, Webroot y Bitdefender, lo que sugiere que los atacantes buscan evitar detección por antivirus.
Ataques similares contra 1PasswordEsta no es la primera vez que los administradores de contraseñas son utilizados como señuelo.
La semana pasada, una campaña de phishing dirigida a usuarios de 1Password circuló correos falsos desde watchtower@eightninety[.]com, redirigiendo a los usuarios a una página fraudulenta (onepass-word[.]com) mediante Mandrillapp.
El investigador Brett Christensen (Hoax-Slayer) fue uno de los primeros en reportar esta actividad el 25 de septiembre.
Según Malwarebytes, quienes ingresaban en el sitio terminaban exponiendo sus credenciales, lo que permitía el acceso completo a sus bóvedas de contraseñas.
Cómo protegerse de las campañas de phishingLos expertos recomiendan seguir una serie de buenas prácticas de ciberseguridad ante este tipo de campañas:
- No hacer clic en enlaces incluidos en correos electrónicos que informen sobre incidentes de seguridad.
- Verificar siempre en los canales oficiales del proveedor, como blogs o comunicados de prensa.
- Evitar descargar instaladores o actualizaciones desde enlaces no verificados.
- Activar la autenticación multifactor (MFA) en todas las cuentas.
- Actualizar los sistemas y software de seguridad de manera constante.
Las empresas legítimas nunca solicitarán contraseñas maestras ni enviarán archivos ejecutables (.exe o .msi) directamente por correo electrónico.
En fin...La campaña de phishing que suplanta a LastPass y Bitwarden demuestra el nivel de sofisticación creciente en los ataques de ingeniería social.
El uso de herramientas legítimas como Syncro MSP y ScreenConnect permite a los atacantes mantener un perfil bajo y pasar inadvertidos, aumentando la efectividad del engaño.
Los usuarios deben mantener una actitud vigilante, verificar fuentes oficiales y desconfiar de cualquier comunicación que solicite acciones urgentes relacionadas con sus cuentas de administrador de contraseñas.
Fuente: https://www.bleepingcomputer.com/