Lastpass

Uma pesquisa realizada pelas Universidades de Zurique e da Svizzera Italiana revelou falhas críticas em gerenciadores de senha populares, como Bitwarden, LastPass e Dashlane. O estudo, liderado por Kenneth Paterson, demonstrou que 27 ataques bem-sucedidos foram realizados, comprometendo a segurança dos dados dos usuários. Embora esses serviços utilizem a Encriptação Zero-Knowledge, que promete que nem mesmo as empresas podem acessar os dados dos usuários, os resultados mostraram que essa proteção é falha. Os pesquisadores identificaram vulnerabilidades que permitem que hackers manipulem dados armazenados, como logins, para obter senhas desencriptadas. Além disso, métodos de segurança obsoletos ainda ativos em alguns aplicativos aumentam o risco de ataques. O 1Password se destacou como o mais seguro, utilizando uma tecnologia de Chave Secreta que mantém os dados no dispositivo do usuário. As empresas afetadas já começaram a lançar atualizações para corrigir as falhas, mas os usuários são aconselhados a atualizar seus aplicativos imediatamente para garantir a segurança de suas informações.

Pesquisadores da ETH Zurich e da USI University identificaram vulnerabilidades em quatro gerenciadores de senhas populares: Bitwarden, LastPass, Dashlane e 1Password. Essas falhas, que afetam cerca de 40 milhões de usuários, permitem que hackers acessem e alterem senhas de forma não autorizada. A análise envolveu 27 cenários de ataques, revelando problemas de segurança que vão desde violações de integridade até o comprometimento total dos cofres dos usuários. Os especialistas destacaram que a criptografia utilizada por esses serviços apresenta falhas, como chaves públicas não autenticadas e uma separação inadequada das chaves guardadas, criando uma falsa sensação de segurança entre os usuários. Os provedores foram notificados sobre as vulnerabilidades e recomendações foram feitas para melhorar a segurança, incluindo a combinação de métodos de autenticação e criptografia. A situação é alarmante, pois muitos usuários confiam nesses gerenciadores para proteger suas credenciais mais sensíveis.

A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como uma notificação de manutenção do serviço, solicitando que os usuários façam backup de seus cofres em um prazo de 24 horas. Os e-mails maliciosos contêm links que supostamente direcionam os usuários para um site onde poderiam criar um backup criptografado, mas na verdade visam roubar senhas mestras e sequestrar contas. A empresa enfatiza que não está solicitando backups e que essa tática é comum em ataques de engenharia social. A campanha foi identificada pela equipe de Inteligência de Ameaças da LastPass e começou em 19 de janeiro, com mensagens enviadas de endereços como ‘support@lastpass[.]server8’ e ‘support@sr22vegas[.]com’. Os e-mails, que imitam comunicações legítimas da LastPass, criam um senso de urgência para enganar os usuários. A LastPass recomenda que os usuários nunca compartilhem suas senhas mestras e que relatem incidentes suspeitos. A campanha foi lançada durante um feriado nos EUA, visando uma resposta menos ágil dos usuários. O site de phishing, ‘mail-lastpass[.]com’, estava fora do ar no momento da reportagem.

A LastPass, plataforma de gerenciamento de senhas, emitiu um alerta sobre uma nova campanha de phishing que visa roubar as credenciais mestras dos usuários. Os cibercriminosos estão enviando e-mails fraudulentos que se passam pela LastPass, alegando a necessidade de uma manutenção iminente no sistema. A mensagem falsa cria um senso de urgência, incentivando os usuários a realizar um backup local de suas senhas em um prazo de 24 horas. Essa estratégia de engenharia social é projetada para enganar as vítimas e levá-las a um site de phishing, que redireciona para um domínio comprometido, onde as chaves mestras podem ser capturadas. A LastPass enfatizou que nunca solicitará a senha mestra ou exigirá ações imediatas com prazos apertados. A empresa está colaborando com um parceiro para desmantelar a campanha antes que mais usuários sejam afetados. Este incidente destaca a importância da conscientização sobre segurança digital e a necessidade de vigilância constante contra tentativas de phishing.

A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como um aviso de manutenção do serviço de gerenciamento de senhas. Iniciada em 19 de janeiro de 2026, a campanha envia e-mails fraudulentos que solicitam aos usuários que façam um backup local de seus cofres de senhas em um prazo de 24 horas. Os e-mails possuem linhas de assunto como ‘Atualização da Infraestrutura LastPass: Proteja Seu Cofre Agora’ e ‘Importante: Manutenção LastPass e a Segurança do Seu Cofre’. Os usuários são direcionados a um site de phishing que imita o LastPass, com o objetivo de roubar suas senhas mestras. A empresa enfatiza que nunca solicitará a senha mestra dos usuários e está trabalhando com parceiros para desmantelar a infraestrutura maliciosa. A LastPass também compartilhou os endereços de e-mail dos remetentes dos e-mails fraudulentos, alertando os usuários a permanecerem vigilantes e a reportarem atividades suspeitas. Essa campanha é um exemplo clássico de engenharia social, utilizando a urgência como tática para enganar os usuários. Além disso, a LastPass já havia alertado anteriormente sobre uma campanha de roubo de informações que visava usuários do macOS da Apple, através de repositórios falsos no GitHub.

Um novo relatório da TRM Labs revela que os backups criptografados roubados do LastPass, durante um ataque em 2022, estão sendo explorados por criminosos cibernéticos, especialmente associados à Rússia. Esses atacantes têm conseguido decifrar cofres de usuários que utilizam senhas mestras fracas, resultando em perdas significativas de ativos em criptomoedas até o final de 2025. A análise da TRM Labs indica que mais de 35 milhões de dólares em ativos digitais foram desviados, com 28 milhões convertidos em Bitcoin e lavados através da Wasabi Wallet. O LastPass foi multado em 1,6 milhão de dólares pelo Escritório do Comissário de Informação do Reino Unido por não implementar medidas de segurança adequadas. O relatório destaca que a falta de atualização de senhas e a segurança inadequada dos cofres permitiram que os atacantes continuassem a explorar vulnerabilidades por anos. As transações foram rastreadas através de exchanges russas, como Cryptex, que já foram sancionadas por atividades ilícitas. Essa situação evidencia como um único incidente de segurança pode se transformar em uma campanha de roubo prolongada, ressaltando a importância de medidas de segurança robustas e da conscientização dos usuários sobre a proteção de suas informações.

O Escritório do Comissário de Informação do Reino Unido (ICO) multou a LastPass em £1,2 milhões (cerca de $1,6 milhões) devido a um vazamento de dados ocorrido em 2022, que comprometeu informações de 1,6 milhão de usuários. O ICO apontou que a LastPass não implementou medidas de segurança adequadas, resultando em dois incidentes de violação de dados. O ataque começou com a obtenção de credenciais criptografadas após a invasão de um laptop da empresa, que tinha acesso ao ambiente de desenvolvimento da LastPass. O invasor, utilizando um keylogger, conseguiu acessar o banco de dados de backup da LastPass, roubando informações pessoais como nomes, e-mails, números de telefone e URLs de sites armazenados. Embora a LastPass utilize um formato de criptografia de conhecimento zero, o que significa que as senhas armazenadas não foram confirmadas como descriptografadas, a exposição de dados pessoais é uma preocupação significativa. O Comissário de Informação do Reino Unido, John Edwards, enfatizou a importância de que empresas que oferecem gerenciadores de senhas garantam a segurança dos dados de seus clientes, alertando para a necessidade de revisão urgente dos sistemas de segurança. Este incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de medidas de proteção robustas.

Recentemente, usuários de gerenciadores de senhas, como LastPass e Bitwarden, estão sendo alvo de uma nova campanha de phishing. Os golpistas enviam e-mails fraudulentos que se passam por atualizações de segurança dos aplicativos, mas na verdade, contêm um software malicioso que permite o acesso remoto aos dados da vítima. Embora as empresas tenham confirmado que não sofreram invasões, a engenharia social utilizada pelos hackers tem se tornado cada vez mais sofisticada, tornando as mensagens mais convincentes. Além disso, a Cloudflare, uma empresa de segurança cibernética, bloqueou alguns links maliciosos, ajudando a proteger os usuários. Para evitar cair nesse tipo de golpe, recomenda-se não abrir links de e-mails suspeitos e sempre verificar diretamente no site oficial do serviço. A desconfiança é fundamental para se proteger contra essas ameaças.

Uma nova campanha de phishing está atacando usuários do LastPass, disfarçando-se como alertas de segurança urgentes para disseminar malware. Especialistas em segurança identificaram e-mails fraudulentos enviados de domínios como ‘hello@lastpasspulse[.]blog’ e ‘hello@lastpassgazette[.]blog’, com linhas de assunto alarmantes como ‘Fomos Hackeados - Atualize Seu Aplicativo LastPass Desktop para Manter a Segurança do Cofre’. Apesar das alegações, a equipe de segurança do LastPass confirmou que não houve violação. Os e-mails direcionam os usuários a domínios maliciosos, como ’lastpassdesktop[.]com’, que foram sinalizados como sites de phishing ativos. A análise técnica dos cabeçalhos dos e-mails revela táticas de ofuscação agressivas, reforçando a ilusão de legitimidade. A campanha coincide com um feriado nos EUA, um momento estratégico em que as equipes de segurança podem estar menos atentas. O LastPass enfatiza que nunca solicitará a senha mestra ou exigirá atualizações imediatas por meio de links enviados por e-mail. Os usuários são aconselhados a verificar todas as comunicações inesperadas e a encaminhar e-mails suspeitos para investigação.

Recentemente, o LastPass, um popular gerenciador de senhas, alertou sobre uma campanha de phishing que visa usuários do macOS. Criminosos estão se passando pela marca para instalar malwares que roubam credenciais através de um método chamado ClickFix. O aplicativo falso, que tenta se disfarçar como LastPass, é encontrado em buscas em motores como Google e Bing, e pode incluir capacidades de backdoor, permitindo acesso oculto aos dispositivos das vítimas. Além do LastPass, mais de 100 outros aplicativos, como 1Password e Dropbox, também estão sendo imitados. Os golpistas utilizam repositórios do GitHub para distribuir o malware, que é baixado após o usuário executar comandos no terminal do Mac. Este malware, conhecido como AMOS, é um serviço de malware que custa cerca de US$ 1.000 por mês para os criminosos. A LastPass está monitorando e reportando essas páginas falsas, mas a criação de novos repositórios é rápida, dificultando a remoção completa do malware. Especialistas recomendam que os usuários confiem apenas em sites oficiais para downloads e estejam atentos a possíveis imitações.

A LastPass alertou sobre uma campanha de roubo de informações que está afetando usuários do macOS, utilizando repositórios falsos no GitHub para distribuir programas maliciosos disfarçados de ferramentas legítimas. Os pesquisadores da LastPass identificaram que os repositórios fraudulentos redirecionam as vítimas para um repositório que baixa o malware conhecido como Atomic Stealer. Além do LastPass, outras ferramentas populares como 1Password, Dropbox e Shopify também estão sendo impersonificadas.

A técnica utilizada inclui a otimização de mecanismos de busca (SEO) para posicionar links maliciosos nos primeiros resultados do Bing e Google, levando os usuários a clicar em botões de download que os redirecionam para páginas do GitHub. Essas páginas, criadas por múltiplos usuários para evitar remoções, instruem os usuários a executar comandos no Terminal, resultando na instalação do malware. Campanhas semelhantes já foram observadas anteriormente, utilizando anúncios patrocinados maliciosos e repositórios públicos para distribuir cargas maliciosas. A situação é preocupante, pois o uso de repositórios do GitHub para hospedar malware pode enganar até mesmo usuários mais experientes.