Nach Angaben von LastPass werden die Phishing-Mails unter anderem von der Adresse „hello@lastpassnewsletter.com“ verschickt. Darin ist von angeblichen Änderungen der Dienstrichtlinien bei LastPass die Rede, darunter erweiterte SaaS-Überwachung, Optionen zum Zurücksetzen des Master-Passworts für Administratoren und Verbesserungen an der Admin-Konsole.
Wer in der E-Mail auf die Schaltfläche „Bedingungen prüfen und aufrufen“ klickt, landet auf einer Webseite, die den Dienst DocuSign nachahmt. Verwendet wird dafür die Domain lastpasscompliance[.]com. Diese wurde laut dem Bericht von Microsoft Defender for Office 365 und Cloudflare als bösartig eingestuft.
LastPass erklärt, das Ziel der Kampagne nicht bestätigen zu können. Nach Angaben des Unternehmens fordert die gefälschte Seite Besucher jedoch dazu auf, eine Datei herunterzuladen, die Unterstützung für Windows und macOS verspricht. Zudem bietet die Seite einen Live-Support über ein Chat-Fenster an; ob dieser tatsächlich funktionierte, war unklar. Zum Zeitpunkt des Berichts war die schädliche Webseite bereits offline.
BleepingComputer zufolge laufen ähnliche Angriffe auch gegen Nutzer von Bitwarden. Dort kommen demnach E-Mails von „hello@bitwardennewsletter.com“ zum Einsatz, die auf bitwardencompliance[.]com weiterleiten.
Es ist nicht das erste Mal, dass LastPass vor solchen Täuschungsversuchen warnt. Im März meldete das Unternehmen gefälschte Hinweise auf unbefugte Kontozugriffe, die den Passwortdienst imitierten und mit erfundenen Kommunikationsverläufen zusätzlichen Zeitdruck erzeugen sollten, um eine Offenlegung von Daten zu erreichen. Zuvor, im Januar, wurden LastPass-Nutzer mit falschen Warnungen attackiert, sie müssten ihre Tresore innerhalb von 24 Stunden sichern, angeblich wegen anstehender Wartungsarbeiten.
LastPass weist Nutzer darauf hin, dass das Unternehmen niemals nach dem Master-Passwort fragt. Verdächtige Nachrichten sollen an abuse@lastpass.com gemeldet werden. Nutzer, die auf Phishing-Seiten Zugangsdaten eingegeben haben, sollten ihr Master-Passwort sofort von einem vertrauenswürdigen Gerät aus ändern und ihre Tresore auf verdächtige Aktivitäten prüfen.
