Fake Klaim Kematian Digunakan untuk Retas Vault LastPass

LastPass memperingatkan penggunanya terkait kampanye phishing terbaru yang menyebar melalui email dengan dalih permintaan akses darurat ke password vault sebagai bagian dari proses pewarisan akun. Serangan ini mulai terdeteksi sejak pertengahan Oktober dan diduga dilakukan oleh kelompok peretas bernama CryptoChameleon (UNC5356) yang dikenal bermotif finansial.

Kelompok ini menggunakan phishing kit canggih yang sebelumnya digunakan untuk mencuri aset kripto dari pengguna dompet digital seperti Binance, Coinbase, Kraken, dan Gemini. Mereka membuat halaman palsu yang menyerupai situs resmi Okta, Gmail, iCloud, dan Outlook untuk menipu korban agar menyerahkan kredensialnya.

Kampanye phishing serupa sempat menargetkan pengguna LastPass pada April 2024, namun versi terbaru kali ini jauh lebih luas dan kompleks karena turut menargetkan passkey, teknologi autentikasi tanpa kata sandi berbasis FIDO2/WebAuthn.

Dalam serangan ini, pelaku mengirim email yang mengklaim bahwa seorang anggota keluarga korban telah mengajukan permintaan akses darurat ke akun LastPass mereka dengan melampirkan “sertifikat kematian.” Pesan tersebut menampilkan nomor ID agen palsu untuk menambah kesan legitimasi, serta mengarahkan penerima agar “membatalkan permintaan” melalui tautan yang disediakan.

Namun, tautan itu justru mengarahkan korban ke situs penipuan lastpassrecovery[.]com, tempat mereka diminta memasukkan master password. Dalam beberapa kasus, pelaku bahkan menelepon korban dengan berpura-pura sebagai staf resmi LastPass untuk meyakinkan mereka agar login ke situs palsu tersebut.

Menurut LastPass, kelompok CryptoChameleon kini memperluas taktiknya dengan menggunakan domain palsu seperti mypasskey[.]info dan passkeysetup[.]com, yang bertujuan mencuri passkey pengguna. Padahal, passkey merupakan metode autentikasi yang lebih aman karena menggunakan kriptografi asimetris alih-alih kata sandi tradisional.

Seiring semakin banyak pengelola kata sandi modern seperti LastPass, 1Password, Dashlane, dan Bitwarden yang mendukung penyimpanan dan sinkronisasi passkey, ancaman semacam ini menandai pergeseran fokus pelaku kejahatan siber untuk menargetkan sistem autentikasi generasi baru.

Perlu diingat, LastPass sebelumnya juga pernah mengalami pelanggaran besar pada tahun 2022 ketika cadangan terenkripsi vault pengguna dicuri. Insiden tersebut dikaitkan dengan serangkaian serangan lanjutan yang mengakibatkan kerugian sekitar $4,4 juta dalam bentuk aset kripto.

Sumber: BleepingComputer