Sebuah kampanye phishing aktif tengah menargetkan pengguna LastPass dan Bitwarden dengan mengirimkan email palsu yang mengklaim adanya pelanggaran keamanan. Pesan tersebut meminta penerima untuk mengunduh versi desktop baru dari aplikasi pengelola kata sandi, yang ternyata berisi alat kendali jarak jauh berbahaya.
Modus Serangan: Email Palsu Bertema Keamanan
Email yang dikirim oleh pelaku meniru gaya komunikasi resmi LastPass dan Bitwarden, lengkap dengan logo serta narasi meyakinkan.
Pesan tersebut menyatakan bahwa versi aplikasi lama (format .exe) memiliki kelemahan yang memungkinkan akses tidak sah ke data vault, dan menyarankan pengguna segera memasang “pembaruan keamanan” dalam format .msi.
Namun, file yang ditautkan sebenarnya menginstal Syncro, sebuah Remote Monitoring and Management (RMM) tool yang sah tetapi disalahgunakan untuk pengambilalihan sistem.
Dari hasil analisis BleepingComputer, pelaku menggunakan Syncro untuk menyebarkan ScreenConnect, perangkat lunak dukungan jarak jauh yang memungkinkan mereka mengakses komputer korban secara penuh.
“LastPass tidak pernah diretas. Email tersebut adalah upaya rekayasa sosial untuk menciptakan rasa urgensi dan menipu pengguna,” tegas LastPass dalam peringatannya.
Domain dan Gaya Penipuan yang Digunakan
Beberapa alamat pengirim yang digunakan antara lain:
hello@lastpasspulse[.]bloghello@lastpasjournal[.]bloghello@bitwardenbroadcast[.]blog
Email tersebut juga memiliki gaya penulisan dan struktur pesan yang sangat mirip antara satu merek dengan lainnya, menunjukkan bahwa kampanye ini dijalankan oleh kelompok pelaku yang sama.
Untungnya, saat ini Cloudflare telah memblokir halaman phishing yang ditautkan dalam email dan menandainya sebagai upaya penipuan.
Analisis Teknis: Pengambilalihan Sistem Secara Terselubung
Berdasarkan analisis sampel biner oleh BleepingComputer, file yang didistribusikan menginstal agen Syncro MSP dengan parameter tersembunyi, agar ikon tray tidak terlihat oleh pengguna.
Konfigurasi tersebut memungkinkan pelaku untuk:
- Menghubungkan agen ke server mereka setiap 90 detik.
- Menginstal ScreenConnect tanpa interaksi pengguna.
- Menonaktifkan beberapa agen antivirus seperti Emsisoft, Webroot, dan Bitdefender.
- Mendapatkan kendali jarak jauh untuk mencuri data atau memasang malware tambahan.
Dengan akses penuh, pelaku berpotensi mencuri vault password, file pribadi, dan kredensial lain yang tersimpan di perangkat korban.
Target Lain: Pengguna 1Password
Kampanye serupa juga menargetkan pengguna 1Password.
Email palsu dikirim dari alamat watchtower@eightninety[.]com dengan tautan menuju halaman login tiruan di onepass-word[.]com.
Jika pengguna memasukkan kata sandi master mereka, data langsung dikirim ke server pelaku.
Kasus ini pertama kali dilaporkan oleh Brett Christensen (Hoax-Slayer) pada 25 September 2025 dan dikonfirmasi oleh Malwarebytes.
Tips Keamanan untuk Pengguna Password Manager
Untuk menghindari serangan serupa, pengguna disarankan untuk:
- Abaikan email peringatan yang meminta instalasi aplikasi baru.
- Selalu verifikasi informasi keamanan langsung dari situs resmi atau blog perusahaan (LastPass, Bitwarden, 1Password).
- Jangan pernah memberikan kata sandi master Anda kepada pihak mana pun.
- Gunakan autentikasi multi-faktor (MFA) untuk menambah lapisan keamanan.
Penting diingat, setiap peringatan keamanan resmi akan dipublikasikan melalui kanal resmi perusahaan, bukan melalui domain blog mencurigakan.
Sumber: BleepingComputer