Attacco phishing colpisce gli utenti di LastPass e Bitwarden: il falso allarme infetta i PC

Attacco phishing colpisce gli utenti di LastPass e Bitwarden: il falso allarme infetta i PC

Un’ondata di sofisticati attacchi phishing sta colpendo chi usa i più noti gestori di password, LastPass e Bitwarden. Tramite email falsificate, hacker avvertono gli utenti di inesistenti violazioni di sicurezza e li inducono a installare un “aggiornamento” dannoso, che infetta il PC con strumenti di controllo remoto.
Proteggi subito i tuoi dati:

  • Verifica sempre la fonte delle email di sicurezza.
  • Non scaricare programmi dai link nelle email.
  • Attiva l’autenticazione a due fattori.
  • Accedi ai gestori di password solo dai siti ufficiali.

Negli ultimi giorni, i principali password manager sono finiti nel mirino di una campagna phishing altamente mirata che sfrutta tecniche di social engineering per sottrarre credenziali, infettare computer e prendere il controllo remoto dei dispositivi. Questo nuovo trend rappresenta una grave minaccia non solo per privati, ma anche per aziende che affidano la sicurezza dei dati ai password manager.

Come funziona l’attacco phishing

Gli hacker inviano false email – molto credibili, con loghi clonati e linguaggio tecnico – spacciandosi per i team di sicurezza di LastPass e Bitwarden. Queste email allarmano gli utenti segnalando presunte “violazioni” o “problemi critici di sicurezza”, suggerendo l’immediato download di una nuova versione “più sicura” del software, o l’aggiornamento dell’app desktop.

Per rendere l’inganno più convincente, i messaggi citano la presenza di vulnerabilità su vecchie versioni del programma e invitano a scaricare un file di installazione, quasi sempre in formato .exe o .msi, da un link presente nella stessa email.
Le mail provengono da indirizzi molto simili agli originali, come hello@lastpasspulse.blog oppure hello@bitwardenbroadcast.blog, ma in realtà sono creati ad hoc per frodare gli utenti.

Cosa succede scaricando il falso aggiornamento

Chi scarica e avvia il file in allegato o dal link fornito, di solito installa Syncro, una piattaforma di remote monitoring pensata originariamente per l’assistenza IT da remoto, ma qui utilizzata dai cybercriminali per prendere il controllo del PC senza che l’utente se ne accorga.
Il malware impiega anche ScreenConnect, strumento legittimo di supporto remoto, che offre agli hacker pieno accesso al dispositivo della vittima.

Il programma dannoso si installa in modo silente, nascondendo le proprie icone e configurandosi per collegarsi ai server degli aggressori ogni 90 secondi. In questa fase, disattiva eventuali software di protezione come Emsisoft, Webroot o Bitdefender, rendendo difficile l’individuazione.

Obiettivi degli attaccanti

L’obiettivo principale è ottenere accesso ai vault dei password manager, contenenti login, note, dati sensibili e certificati digitali. Una volta stabilito il controllo remoto, i criminali possono:

  • Installare ulteriori malware o ransomware.
  • Estrarre tutte le credenziali salvate.
  • Svuotare i dati contenuti nel password manager.
  • Rubare dati finanziari o personali.
  • Spiare le attività della vittima.

Coordinamento e infrastrutture degli attacchi

Secondo le analisi di sicurezza, queste campagne impiegano domini falsi, spesso registrati pochi giorni prima, come lastpassdesktop.com o bitwardenlogin.com, per ospitare pagine di download truffaldine o login page clone dove gli utenti inseriscono le proprie credenziali, che finiscono direttamente nelle mani degli hacker.

Gli indirizzi IP coinvolti sono legati a provider noti per il “bulletproof hosting”, cioè servizi che ospitano siti malevoli sfuggendo ai normali controlli e rimozioni. Molte delle pagine coinvolte sono già state bloccate da Cloudflare e altre piattaforme di sicurezza, ma i rischi restano alti per chi ha ricevuto le email prima delle contromisure.

I recenti casi e l’espansione degli attacchi

Questi attacchi non sono isolati: solo pochi giorni fa una campagna simile ha preso di mira gli utenti di 1Password utilizzando la medesima tecnica del falso allarme e delle pagine clone. Nei casi più recenti, la strategia si è evoluta, includendo anche Google Ads malevoli che mostrano finti annunci dei password manager nelle ricerche, portando l’utente su siti di phishing perfettamente identici a quelli originali.

Secondo gli esperti, la facilità con cui è possibile adattare questi kit di phishing alle varie piattaforme di password manager rende l’attacco particolarmente insidioso e diffuso.

Vulnerabilità reali e clickjacking

Il problema è aggravato dal fatto che, negli stessi giorni, ricercatori di sicurezza hanno segnalato vulnerabilità (come il clickjacking) in alcune versioni di password manager: exploit potenzialmente in grado di estrarre informazioni come codici 2FA, passkey e dati sensibili.
Se da un lato LastPass, Keeper e Dashlane hanno già corretto gran parte delle falle, altri gestori come Bitwarden sono ancora in fase di aggiornamento, aumentando la pressione e l’ansia sugli utenti, facilmente manipolabili da email che simulano allarmi di sicurezza autentici.

Come riconoscere (e evitare) il phishing

Il phishing odierno è molto sofisticato e può ingannare anche utenti esperti. Ecco alcuni segnali chiave:

  • Email da indirizzi simili ma non identici a quelli ufficiali
  • Tono allarmistico e richiesta di azioni urgenti
  • Link a siti esterni, spesso con dominio differente
  • Download di file eseguibili (.exe, .msi)
  • Mancanza di riferimenti o canali di assistenza ufficiali

Non fidarti mai di mail che chiedono di scaricare aggiornamenti fuori dal sito ufficiale o che invitano a cambiare subito password senza una reale notifica via canali sicuri.

Le azioni da intraprendere subito

Consigli immediati:

  • Controlla sempre l’indirizzo email del mittente.
  • Non scaricare file dai link nelle email; esegui gli aggiornamenti solo tramite il sito o l’app ufficiale del password manager.
  • Abilita l’autenticazione a due fattori su tutti i tuoi account.
  • Non inserire credenziali su siti raggiunti da pubblicità online.
  • Aggiorna subito il tuo antivirus e assicurati che sia attivo.

Cosa fare se pensi di essere a rischio

Se hai ricevuto una mail sospetta o sei caduto nell’inganno, agisci così:

  • Disconnettiti da Internet per limitare il controllo remoto immediato.
  • Cambia subito tutte le password, partendo dal master password del password manager (solo dal sito ufficiale!).
  • Attiva 2FA laddove possibile.
  • Contatta il supporto tecnico del gestore di password.
  • Esegui una scansione approfondita del tuo PC con almeno due software di sicurezza.
  • Rimuovi manualmente Syncro, ScreenConnect o altri strumenti di assistenza remota non autorizzati.

Azioni di difesa avanzate (approfondite)

Protezione continua:

  • Imposta notifiche di accesso non riconosciuto sul password manager e su tutti gli account sensibili.
  • Utilizza password manager che offrono report di sicurezza sullo stato del vault e storico degli accessi.
  • Segnala alle autorità tutte le email sospette ricevute, contribuendo alla difesa della comunità.
  • Preferisci password manager che aggiornano tempestivamente le vulnerabilità note.
  • Monitora regolarmente le news di settore e le notifiche di sicurezza da fonti autorevoli.

La lotta contro il phishing richiede consapevolezza, formazione costante e strumenti aggiornati. La migliore difesa è la conoscenza e la prudenza: solo così puoi tenere al sicuro i tuoi dati più preziosi anche davanti agli hacker più avanzati.

Verifica le fonti, aggiorna le password, sfrutta il 2FA e naviga solo su siti ufficiali: questi sono i pilastri per mettere il cybercrime fuori dalla porta.

Fonte: https://www.bleepingcomputer.com/news/security/fake-lastpass-bitwarden-breach-alerts-lead-to-pc-hijacks

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto