LastPass e Bitwarden: utenti bersaglio di falsi alert di sicurezza e phishing
Se utilizzi LastPass o Bitwarden per gestire le tue password, devi essere immediatamente consapevole di una campagna di phishing attiva che ti sta prendendo come obiettivo. Gli attaccanti inviano email fraudolente che sembrano avvisi ufficiali di sicurezza, creando un senso di urgente pericolo per spingerti a visitare siti web truffaldini o a scaricare file dannosi. La soluzione rapida è semplice ma fondamentale: non cliccare mai su link presenti in email di questo tipo e non scaricare alcun file che ti venga proposto come “aggiornamento di sicurezza” o “backup urgente”. Per verificare la sicurezza del tuo account, accedi sempre direttamente al sito ufficiale del servizio tramite il browser, senza seguire indirizzi forniti nelle email.
Questi tentativi di inganno sono particolarmente sofisticati perché mimano perfettamente le comunicazioni aziendali legittime, utilizzando loghi ufficiali, layout familiari e toni formali che possono confondere anche gli utenti più esperti. Gli aggressori affermano che i tuoi dati sono stati compromessi o che il servizio richiede un’azione immediata per prevenire una perdita di informazioni, ma nessuna di queste affermazioni è vera. Le aziende hanno chiarito che i loro sistemi non sono stati compromessi e che queste email non originano dalle loro infrastrutture. Riconoscere questi segnali è il primo passo per mantenere la tua privacy e i tuoi dati al sicuro da mani malintenzionate.
Come funziona la campagna di phishing attuale
La campagna di phishing attualmente in corso si distingue per la sua capacità di ingannare gli utenti attraverso la creazione di un’atmosfera di paura e urgenza. Le email ricevute sono progettate per sembrare comunicazioni corporative legittime, notificando ai destinatari l’aggiornamento di politiche di sicurezza o l’esistenza di una vulnerabilità critica che richiede una risposta immediata. Il messaggio tipico informa l’utente che il servizio di gestione password è stato hackerato o che è necessario un aggiornamento del software per proteggere il vault.
In uno dei casi più recenti, le email inviata dall’indirizzo apparentemente ufficiale come ‘hello@lastpassnewsletter.com‘ o ‘hello@lastpasspulse[.]blog’ notificavano l’utente di modifiche alle politiche di servizio. Queste modifiche includevano riferimenti a monitoraggio SaaS potenziato, opzioni di reset della password master per gli amministratori e miglioramenti al console di gestione. Il contenuto era calibrato per sembrare tecnico e autorevole, aumentando la credibilità della truffa. Tuttavia, l’obiettivo reale non era informare, ma indurre l’utente a cliccare su un pulsante chiamato “Recupera e Accedi ai Termini” o simile, che lo portava a un sito web fraudolento.
Il sito web impersona servizi famosi come DocuSign, ampiamente utilizzati per la firma e la gestione elettronica di documenti. L’utente è invitato a scaricare un file che sostiene di essere un aggiornamento necessario o un documento per la revisione, ma in realtà questo file è un malware. In molti casi, il file scaricato installa Syncro, un tool di monitoraggio e gestione remota (RMM) utilizzato dagli fornitori di servizi gestiti (MSP). Questo permette agli attaccanti di ottenere l’accesso remoto al computer dell’utente, compromettendo la sicurezza del dispositivo e, potenzialmente, di tutti i dati presenti su esso.
Gli indirizzi dei domini utilizzati sono lookalike, ovvero simili ma non identici a quelli ufficiali. Ad esempio, invece di lastpass.com, gli attaccanti utilizzano domini come lastpasscompliance[.]com, lastpasspulse[.]blog, lastpassgazette[.]blog o mail-lastpass[.]com. Questi domini sono spesso registrati su piattaforme di hosting affidabili ma sono stati segnalati come dannosi da strumenti di sicurezza come Microsoft Defender for Office 365 e Cloudflare. La presenza di questi domini è un indicatore chiave di truffa che non deve essere ignorato.
Utenti di Bitwarden presi nello stesso attacco
Non solo gli utenti di LastPass sono stati bersaglio di questa campagna. È stato documentato che Bitwarden subisce attacchi simili, con email inviata da indirizzi come ‘hello@bitwardennewsletter.com‘. Queste email seguono lo stesso stile di scrittura, il mesmo tono di urgenza e il mesmo lure per convincere i destinatari a seguire il link di download verso un’applicazione desktop migliorata. Il dominio di destinazione per Bitwarden è spesso bitwardencompliance[.]com, che presenta le stesse caratteristiche di un dominio fraudolento.
La natura trasversale di questo attacco dimostra che gli aggressori non si limitano a un singolo servizio, ma prendono come obiettivo piattaforme di gestione password popolari per massimizzare il numero di vittime. La strategia è identica: creare un falso senso di sicurezza prometendo un aggiornamento o un backup, mentre in realtà si distribuye malware per l’accesso remoto. Questo tipo di attacco è particolarmente pericoloso perché i gestori di password custodiscono le credenziali per molti altri servizi, rendendo il vault un obiettivo di altissimo valore per i criminali informatici.
Cronologia degli attacchi recenti a LastPass
La campagna attuale non è il primo tentativo di phishing contro gli utenti di LastPass. Nel corso dei mesi precedenti, l’azienda ha segnalato diverse altre operazioni di inganno che hanno utilizzato tattiche simili. Queste cronologie aiutano a comprendere l’evoluzione delle strategie degli attaccanti e a riconoscere meglio i segnali di truffa.
Nel marzo 2025, LastPass ha avvisato gli utenti di una campagna di phishing che utilizzava alert di accesso non autorizzato al proprio account. Queste email impersonavano il servizio di password, targettizzando gli utenti con thread di comunicazione fabbricati progettati per aumentare l’urgenza e portare all’esposizione dei dati. Gli attaccanti si fingevano rappresentanti del supporto clienti, inviando chat forwardate che mostravano una richiesta di cambio dell’email principale dell’account, spingendo l’utente a rispondere con urgenza e cliccare su link per “segnalare attività sospetta” o “disconnettere e bloccare il vault”.
Nel gennaio 2026, un’altra campagna attiva ha iniziato a inviare email che affermano che LastPass è pronto a effettuare manutenzione e che gli utenti devono backupare i loro vault nelle prossime 24 ore. Questo messaggio è stato inviato durante un weekend di festa negli Stati Uniti, utilizzando titoli di soggetto come “Proteggi le tue password: backup del vault (24 ore)” per creare panico e azione rapida. LastPass ha chiarito che non richiede backup del vault in 24 ore e che questa è un tentativo di un attore malintenzionato di generare urgenza, una tattica comune nel social engineering.
In ottobre 2025, una campagna di phishing diffusa ha targettizzato utenti di entrambi LastPass e Bitwarden con falsi avvisi di sicurezza che affermavano che le aziende erano state hackerate. Le email spingevano i destinatari a scaricare una nuova applicazione desktop “più sicura”, presentata come un aggiornamento urgente per proteggere i vault. Questo attacco ha distribuito malware che installava Syncro, permettendo l’accesso remoto ai computer delle vittime.
Consigli di sicurezza e azioni da prendere
Per proteggersi da queste campagne di phishing, è essenziale adottare una serie di precauzioni concrete. LastPass ha sottolineato che l’azienda non chiedrà mai la password master agli utenti e ha invitato a segnalare qualsiasi comunicazione sospetta all’indirizzo abuse@lastpass.com. Gli utenti che hanno inserito le credenziali sui siti di phishing devono cambiare immediatamente la password master da un dispositivo fidato e verificare i loro vault per attività sospette.
Ecco una lista di azioni pratiche per evitare di essere vittima di questi attacchi:
- Non cliccare mai sui link nelle email, specialmente se ti chiedono di aggiornare il software, fare un backup urgente o verificare lo stato dell’account.
- Verifica sempre l’indirizzo del mittente. I domini ufficiali di LastPass e Bitwarden non utilizzano indirizzi come
.blog,.comcon parole aggiuntive comecompliance,newsletter,pulseogazette. - Accedi direttamente al sito ufficiale. Se ricevi un avviso di sicurezza, vai sul sito web del servizio tramite il browser, senza seguire link dall’email.
- Usa il browser ufficiale o l’estensione. Accedi al vault tramite l’icona dell’estensione del browser o l’app ufficiale, non tramite link email.
- Non scaricare file che ti vengono proposti come “aggiornamenti di sicurezza” o “documenti per la revisione”.
- Controlla il blog ufficiale o la pagina di stato del servizio per verificare eventuali annunci di sicurezza reali.
Ricorda che i gestori di password non richiedono aggiornamenti tramite link email. Se un’email ti chiede di installare un’app desktop per “restare sicuro”, è quasi certamente una truffa. La sicurezza dei tuoi dati dipende dalla tua capacità di riconoscere questi segnali e di agire con cautela.
Technical Deep Dive
Per gli utenti tecnici e i professionisti della sicurezza, è fondamentale analizzare gli aspetti più avanzati di questa campagna di phishing. L’attacco attuale utilizza una combinazione di brand spoofing, domini lookalike e social engineering per distribuire malware che permette l’accesso remoto.
Analisi dei domini e indirizzi di mittente
Gli attaccanti utilizzano domini che sono subdomini o varianti dei domini ufficiali. Ad esempio:
lastpasspulse[.]blogvslastpass.comlastpassgazette[.]blogvslastpass.comlastpasscompliance[.]comvslastpass.commail-lastpass[.]comvslastpass.com
Questi domini sono spesso registrati su piattaforme di hosting legittime ma sono stati segnalati come dannosi da Microsoft Defender e Cloudflare. L’uso di .blog è particolarmente comune perché questi domini sono spesso meno monitorati e possono essere registrati rapidamente.
Meccanismo di distribuzione del malware
Il file scaricato non è un semplice aggiornamento, ma un installer che distribue Syncro, un tool RMM (Remote Monitoring and Management). Syncro è utilizzato legalmente dai fornitori di servizi gestiti (MSP) per gestire IT, ma in questo contesto è usato per ottenere accesso remoto al computer dell’utente. Una volta installato, Syncro può deployare ScreenConnect per un accesso remoto completo, permettendo agli attaccanti di:
- Visualizzare lo schermo dell’utente
- Controllare il mouse e la tastiera
- Accedere a file e dati sensibili
- Installare ulteriore malware
Tattiche di social engineering
Gli attaccanti utilizzano tattiche di social engineering per creare un senso di urgenza:
- Messaggi di manutenzione imminente: “Backup del vault nelle prossime 24 ore”
- Alert di accesso non autorizzato: “Il tuo account è stato compromesso”
- Falsi thread di comunicazione: Chat forwardate che mostrano una richiesta di cambio email
- Titoli di soggetto urgenti: “Action Required: 24 Hours”
Queste tattiche sono progettate per spingere l’utente a agire senza pensare, aumentando la probabilità di cliccare sul link e scaricare il malware.
Indicatori di compromissione (IoC)
Per i professionisti della sicurezza, ecco alcuni Indicatori di Compromissione (IoC) da monitorare:
- Domini dannosi:
lastpasscompliance[.]com,bitwardencompliance[.]com,lastpasspulse[.]blog - Indirizzi di mittente:
hello@lastpassnewsletter.com,hello@lastpasspulse[.]blog,hello@bitwardennewsletter.com - File dannosi: Installer che distribue Syncro e ScreenConnect
- Link di phishing:
verified-last.com,group-content-gen2.s3.eu-west-3.amazonaws[.]com
Prevenzione e mitigazione
Per prevenire e mitigare questi attacchi, le organizzazioni dovrebbero:
- Implementare filtri email per bloccare domini e indirizzi di mittente dannosi
- Utilizzare strumenti di sicurezza come Microsoft Defender e Cloudflare per segnalare domini dannosi
- Educazione degli utenti per riconoscere le tattiche di social engineering
- Monitorare il traffico di rete per attività anomale di accesso remoto
- Verificare gli annunci di sicurezza tramite il blog ufficiale o la pagina di stato del servizio
In sintesi, questa campagna di phishing è un esempio di come gli attaccanti possano sfruttare la fiducia degli utenti nei servizi di gestione password per distribuire malware e ottenere accesso remoto. La comprensione degli aspetti tecnici di questo attacco è fondamentale per sviluppare strategie di prevenzione e mitigazione efficaci.





