Se non sei morto, clicca qui: la truffa che sta ingannando gli utenti LastPass

Un'estesa campagna di phishing sta colpendo gli utenti del gestore di password LastPass, sfruttando falsi messaggi relativi per indurre le vittime a consegnare le proprie credenziali. Secondo le analisi della società, dietro l'attacco si celerebbe il gruppo CryptoChameleon (UNC5356), già noto per operazioni di furto di criptovalute.

La campagna, avviata a metà ottobre 2025, prevede l'invio di email apparentemente provenienti dall'indirizzo ufficiale [email protected], con oggetto "Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)". Il messaggio segnala che un familiare avrebbe chiesto l'accesso al proprio vault LastPass tramite la procedura di emergenza, presentando un certificato di morte.

Per rendere la truffa più credibile, le email includono un ID, una data di apertura e un livello di priorità del caso - tutti dati inventati - e invitano l'utente a cliccare su un link per "annullare la richiesta". In realtà, il collegamento porta al dominio lastpassrecovery[.]com, un sito di phishing che replica l'interfaccia del servizio e invita la vittima a inserire la master password.

In alcuni casi, i criminali hanno anche contattato telefonicamente gli utenti, fingendosi operatori del supporto LastPass per convincerli a completare la procedura. Questa componente di ingegneria sociale attiva rappresenta un'evoluzione rispetto a precedenti campagne, come quella di aprile 2024, condotta dallo stesso gruppo.

CryptoChameleon è associato a numerosi domini fraudolenti legati a exchange di criptovalute e servizi cloud, tra cui versioni false di siti come Coinbase, Binance, Kraken, Gemini, Gmail e Google. L'infrastruttura malevola risulta ospitata da NICENIC, un provider già impiegato in attività simili.

Una novità significativa della campagna è il targeting diretto alle passkey, lo standard di autenticazione senza password basato sui protocolli FIDO2 e WebAuthn. Sono stati individuati domini come mypasskey[.]info e passkeysetup[.]com, utilizzati per intercettare i token di sicurezza associati ai gestori di password moderni, inclusi LastPass, 1Password, Dashlane e Bitwarden.

LastPass afferma di aver interrotto la diffusione iniziale del sito principale di phishing, collaborando con i provider di rete e segnalando gli indicatori di compromissione (IOC) alle autorità competenti. L'azienda invita gli utenti a non condividere mai la master password, a non cliccare su link sospetti e a segnalare messaggi o chiamate sospette all'indirizzo [email protected].

L'incidente evidenzia l'interesse crescente dei cybercriminali verso i sistemi di autenticazione avanzata e i gestori di password, soprattutto dopo la violazione del 2022, in cui un attacco a LastPass portò al furto di backup cifrati dei vault e a successivi episodi di furto di criptovalute stimati in circa 4,4 milioni di dollari.