Новая фишинговая атака на LastPass: хакеры требуют «срочный бэкап» для кражи мастер-пароля

LastPass предупредила о новой активной фишинговой кампании, которая маскируется под сервис и пытается выманить у пользователей мастер-пароль. Рассылка, по данным компании, началась примерно 19 января 2026 года и построена на типичном приеме: создать ощущение срочности, чтобы человек действовал на автомате.

В письмах говорится о якобы предстоящем техническом обслуживании и предлагается сделать локальную резервную копию хранилища паролей в течение 24 часов. Команда угроз LastPass, которая занимается такими расследованиями и реагированием, публикует темы, которые используют злоумышленники. Среди них варианты вроде LastPass Infrastructure Update: Secure Your Vault Now, Your Data, Your Protection: Create a Backup Before Maintenance и Protect Your Passwords: Backup Your Vault (24-Hour Window).

Письма приходят не с адресов LastPass, но выглядят так, будто они официальные. В предупреждении перечислены адреса отправителей: [email protected], [email protected], [email protected] и [email protected]. Это подмена, к сервису они отношения не имеют.

Дальше пользователя ведут по цепочке перенаправлений. В качестве стартовой точки LastPass указывает ссылку на объект в Amazon S3: group-content-gen2.s3.eu-west-3.amazonaws.com/5yaVgx51ZzGf, после чего идет редирект на домен mail-lastpass.com. На момент публикации предупреждения домен обслуживался с IP: 104.21.86.78, 172.67.216.232 и 188.114.97.3.

Компания отдельно отмечает выбор времени. Кампания стартовала в праздничные выходные в США, когда у многих служб и компаний меньше людей на дежурстве и реакция на инциденты может быть медленнее. Это стандартная тактика для фишинга.

LastPass подчеркивает, что никогда не просит мастер-пароль и не требует выполнять срочные действия в жесткие сроки. Представитель команды угроз в комментарии прямо говорит, что в основе этой кампании лежит ложная срочность, один из самых эффективных приемов фишинга. LastPass также сообщает, что работает с партнерами над отключением вредоносной инфраструктуры.

LastPass регулярно используют как бренд-приманку, и это не первый подобный случай. В сентябре 2025 компания предупреждала о кампании, где вредоносные программы распространялись через поддельные репозитории GitHub под видом LastPass и других популярных приложений для macOS. В октябре 2025 фиксировали фишинг, где злоумышленники уверяли, что сервис якобы взломан, и предлагали обновить настольное приложение по вредоносным ссылкам. Отдельно выделяли кампанию вокруг функции наследования, когда жертвам приходили письма о якобы поданном свидетельстве о смерти, и дальше их уводили на фишинговый сайт. Эту активность связывали с группой CryptoChameleon, также известной как UNC5356, которая ранее охотилась на пользователей криптоплатформ.

По данным BI.ZONE, в 2024 году в России выявили более 350 тысяч фишинговых ресурсов, это на 50% больше, чем годом ранее. Positive Technologies сообщала, что фишинговые атаки выросли примерно на треть за год, а 84% фишинга идет через электронную почту. В исследовании Threat Zone 2025 отмечалось, что в 2024 году 61% группировок, атакующих российские организации, использовали фишинговые письма для первичного доступа. Средняя компания, по этим оценкам, в месяц получала 63 письма с вредоносным ПО и 462 письма с фишинговыми ссылками.

Наконец, вокруг LastPass остается тяжелый бэкграунд. В августе 2022 компания признала взлом среды разработки через скомпрометированную конечную точку разработчика. В декабре 2022 LastPass сообщила, что злоумышленник скопировал облачную резервную копию данных хранилищ клиентов, включая зашифрованные пароли, имена пользователей и данные автозаполнения. TRM Labs в декабре 2025 писала, что российские киберпреступники, вероятно, связаны с отмыванием более 35 млн долларов в криптовалюте, похищенных у пользователей после взлома 2022 года.