Fałszywe „wnioski pośmiertne” w LastPass: kampania CryptoChameleon wyłudza hasła główne i celuje także w passkeys

Wprowadzenie do problemu / definicja luki

LastPass ostrzega przed trwającą od połowy października kampanią socjotechniczną podszywającą się pod mechanizm „dziedziczenia” (legacy/emergency access). Ofiary dostają e-maile sugerujące, iż członek rodziny wnioskował o dostęp do sejfu po rzekłej śmierci właściciela, a w treści znajduje się „link do anulowania wniosku”. Kliknięcie prowadzi na fałszywą stronę „lastpassrecovery[.]com”, gdzie napastnicy wyłudzają hasło główne; w części przypadków atak jest wzmacniany telefonem od „pracownika LastPass” (tzw. hybrid phishing/call-back). Źródła i artefakty przypisują kampanię do grupy CryptoChameleon (UNC5356), wcześniej znanej z wyłudzeń na użytkownikach giełd krypto oraz z klonów stron logowania Okta/Gmail/iCloud/Outlook.

W skrócie

• TTPs: e-mail z tematem “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” → call-to-action „Cancel request” → phishing na lastpassrecovery[.]com → kradzież hasła głównego; dodatkowo fałszywe telefony kierujące ofiarę na stronę phishingową; domeny pod passkeys (np. mypasskey[.]info, passkeysetup[.]com).
• Atrybucja: infrastruktura i domeny powiązane z CryptoChameleon/UNC5356 (powiązania z kampaniami krypto-phishing).
• Skala/zasięg: kampania aktywna od połowy października 2025 r.; część infrastruktury wygaszona, ale pojawiają się kolejne klony.
• Ryzyko: kompromitacja sejfu haseł i/lub kradzież środków krypto, przejęcia kont, eskalacja na środowiska firmowe (SSO, poczta, CI/CD). Kontekst historyczny podnosi wagę ataku.

Kontekst / historia / powiązania

W 2022 r. LastPass ujawnił kradzież zaszyfrowanych kopii sejfów oraz danych niezaszyfrowanych (m.in. URL-e), co w kolejnych miesiącach korelowało z seriami kradzieży krypto u wybranych ofiar. W 2025 r. amerykańskie organy ścigania w dokumentach sądowych łączyły część dużych kradzieży (ok. 150 mln USD) z kompromitacjami związanymi z LastPass z 2022 r.

Dodatkowo 15 października 2025 r. raportowano inną kampanię phishingową celującą w użytkowników LastPass i Bitwarden, która wmawiała „włamanie” i skłaniała do instalacji „bezpieczniejszej wersji desktopowej” — w praktyce prowadziła do przejęcia stacji roboczej. To pokazuje ciągłe zainteresowanie ekosystemem managerów haseł przez cyberprzestępców.

Analiza techniczna / szczegóły luki

Wektor socjotechniczny:

• Narracja „pośmiertna”: e-mail informuje o uruchomieniu procedury dziedziczenia (upload „aktu zgonu”) i zawiera fikcyjny numer agenta/case ID oraz priorytet sprawy — elementy, które podnoszą wiarygodność i presję czasu.
• Phishing URL: przycisk „Cancel request” kieruje do lastpassrecovery[.]com (wskaźniki z przypisaniem do CryptoChameleon; hostowanie m.in. w NICENIC). Lista IOCs obejmuje także dziesiątki domen podszywających się pod Coinbase/Binance/Gemini/Gmail.
• Call-back (voice social engineering): napastnicy dzwonią jako „LastPass Support” i nakłaniają do wpisania hasła głównego na stronie phishingowej.
• Celowanie w passkeys: obecność wielu wariantów domen typu mypasskey[.]info i passkeysetup[.]com wskazuje na rozszerzenie ataku na FIDO2/WebAuthn (kradzież/eskalacja tokenów i sekwencji rejestracji).

Mechanizm „dziedziczenia” w LastPass (legalny): właściciel sejfu może zdefiniować kontakt awaryjny; po żądaniu dostępu biegnie okres karencji, po którym dostęp jest nadawany automatycznie, jeśli właściciel nie zareaguje. Atak nawiązuje do tej logiki, by zmuszać ofiarę do „anulowania” i wejścia w lewą stronę.

Praktyczne konsekwencje / ryzyko

• Użytkownicy indywidualni: ujawnienie hasła głównego = pełne przejęcie sejfu, pivot na mail/SSO/krypto; przy przechowywaniu seedów do portfeli – natychmiastowa kradzież środków. Kontekst z 2022–2025 r. pokazuje, iż to nie są ataki hipotetyczne.
• Firmy: ryzyko kompromitacji kont uprzywilejowanych, łańcuchowe przejęcia usług (MFA reset, IdP, repozytoria), BEC i naruszenia danych.
• Zespół helpdesku: podatność na „voice phishing” i eskalacje na wewnętrzne procesy wsparcia (np. błędna weryfikacja tożsamości).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (natychmiast):

1. Nigdy nie wpisuj hasła głównego po kliknięciu w link z e-maila/telefonu. Wchodź wyłącznie przez oficjalną aplikację lub manualnie wpisany lastpass.com.
2. Sprawdź w skrzynce temat: Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED). jeżeli go masz — prześlij jako załącznik na abuse@lastpass.com.
3. Włącz MFA dla LastPass i wszystkich krytycznych kont; rozważ zmianę hasła głównego i rotację haseł do kont wysokiej wartości (banki, krypto, e-mail).
4. Jeśli używasz passkeys – upewnij się, iż nie rejestrowałeś ich poprzez żaden link z e-maila; odrzuć nieoczekiwane prośby o rejestrację/uwierzytelnienie.

Dla SecOps/IT (w organizacji):

1. Blokuj/monitoruj IOCs z bieżącej kampanii (domena lastpassrecovery[.]com, warianty mypasskey[.]info, podszycia pod giełdy i Gmail) w DNS/web proxy/EDR. Wdróż detekcje „Legacy Request” w treściach maili.
2. Playbook SOAR: runbook na hybrydowy phishing + call-back (weryfikacja telefoniczna tylko poprzez oddzwonienie na oficjalne numery; żaden pracownik LastPass nie poprosi o hasło główne).
3. Awareness: mikro-kampania dla pracowników (60-sek. wideo/komunikat) nt. „fałszywego dziedziczenia” i zasad bezpiecznej rejestracji passkeys.
4. Zarządzanie tajemnicami: rozdziel sejfy prywatne/służbowe, segmentuj tajemnice; wymuś MFA hardware (FIDO2) tam, gdzie możliwe; rozważ detekcje anomalii w menedżerach haseł (próby odzyskiwania, masa-eksport haseł).
5. Incident response: o ile podejrzewasz wpisanie hasła na phishingu – wymuś natychmiastową rotację i sprawdź eksport historii sejfu, logi logowań i ewentualne exfiltration events.

Różnice / porównania z innymi przypadkami

• Październik 2025 (ten case): nacisk na dziedziczenie + call-back i targetowanie passkeys (nowość względem klasycznego phishingu na hasło główne).
• 15 października 2025: osobna kampania „fałszywych alertów o włamaniu” wymuszająca instalację „bezpieczniejszej aplikacji” (wektor malware/PC hijack zamiast credential harvesting).
• Kontekst 2022–2025: długofalowe skutki wycieku sejfów (brute-force offline na słabych hasłach, kradzieże krypto) – obecna kampania wykorzystuje te narracje i dane do skuteczniejszej socjotechniki.

Podsumowanie / najważniejsze wnioski

• To nie jest bug w LastPass, ale wyrafinowana socjotechnika wykorzystująca realny proces „emergency access”.
• Kampania CryptoChameleon łączy phishing mailowy, voice phishing i nowe cele (passkeys), co zwiększa skuteczność.
• Organizacje powinny natychmiast wprowadzić bloki IOC, szkolenia „micro-awareness” i runbooki na call-back phishing; użytkownicy — MFA wszędzie, zerowa tolerancja na linki z e-maili i zgłaszanie podejrzanych wiadomości na abuse@lastpass.com.

Źródła / bibliografia

• BleepingComputer: „Fake LastPass death claims used to breach password vaults”, 24.10.2025. (BleepingComputer)
• LastPass (oficjalny blog): „Possible CryptoChameleon Social Engineering Campaign…”, 23.10.2025. (The LastPass Blog)
• BleepingComputer: „Fake LastPass, Bitwarden breach alerts lead to PC hijacks”, 15.10.2025. (BleepingComputer)
• KrebsOnSecurity: „Feds Link $150M Cyberheist to 2022 LastPass Hacks”, 07.03.2025. (Krebs on Security)
• LastPass (komunikat): „Notice of Recent Security Incident”, 22.12.2022. (The LastPass Blog)