Изображение: recraft
Пользователи популярных менеджеров паролей LastPass и Bitwarden оказались в центре масштабной фишинговой атаки, организованной с применением инструментов для удалённого управления устройствами. Распространение вредоносного ПО осуществляется через тщательно подделанные письма, в которых утверждается, что компании якобы стали жертвами киберинцидентов и что пользователю следует срочно обновить своё настольное приложение для повышения безопасности.
Как сообщает издание BleepingComputer, в фальшивых сообщениях получателям предлагается загрузить новый установочный файл, якобы созданный для устранения уязвимостей устаревших версий менеджеров. На самом деле под видом обновления распространяется вредоносный исполняемый файл, который инсталлирует на устройство программу Syncro — один из популярных инструментов дистанционного контроля и администрирования, применяемый в инфраструктуре MSP-провайдеров.
Установленная с помощью Syncro платформа даёт злоумышленникам прямой доступ к заражённому устройству, после чего они могут внедрить дополнительный софт для дистанционного подключения, включая известное решение ScreenConnect. По сути, сценарий разворачивания позволяет получить почти неограниченный контроль над системой.
Компания LastPass в официальном уведомлении, опубликованном на текущей неделе, сообщила, что её инфраструктура не подвергалась кибервзлому, а все письма с требованием установить «новое приложение» — это ни что иное, как попытка социальной инженерии. Представители LastPass подчёркивают, что цель рассылки — создать иллюзию угрозы и заставить пользователя действовать поспешно. Использование чувства тревоги остаётся одним из самых эффективных методов манипуляции в фишинговых кампаниях.
По данным LastPass, рассылка началась в выходные, совпав с праздничными днями, связанными с Днём Колумба в США. Подобное время выбрано не случайно — в такие периоды многие компании работают в ограниченном режиме, и риск своевременного обнаружения угрозы резко снижается.
Авторы атаки действуют крайне изобретательно. В письмах упоминается, что старые установочные файлы в формате .exe якобы содержали уязвимости, которые могли позволить третьим лицам получить доступ к закэшированной информации. Пользователю предлагают перейти на «более безопасный» MSI-установщик. В тексте поддельного уведомления утверждается, что именно через уязвимость старых версий злоумышленники получили шанс на вмешательство — при этом такого инцидента в действительности не происходило.
Оригинал публикации на сайте CISOCLUB: "Хакеры рассылают фальшивые письма о «взломе» LastPass и Bitwarden и заражают компьютеры через подмену приложений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.