A Herança que Ninguém Pediu: Cibercriminosos Usam a Morte para Invadir Cofres do LastPass
Em uma reviravolta digna de um suspense digital, usuários do popular gerenciador de senhas LastPass estão na mira de uma campanha de phishing particularmente sinistra. Criminosos do grupo conhecido como CryptoChameleon estão explorando uma das funcionalidades mais sensíveis do serviço — a herança de cofre digital — para enganar vítimas e roubar suas senhas mestras. A tática, que começou a ser observada em meados de outubro, apela para o emocional ao simular que um familiar solicitou acesso à conta do usuário após sua suposta morte.
A ofensiva foi detalhada em um alerta emitido pelo próprio LastPass, que identificou a infraestrutura e os domínios utilizados como pertencentes ao CryptoChameleon. Este grupo, também catalogado como UNC5356, não é novato no ramo; eles são conhecidos por seus ataques com motivação financeira, especialmente focados no roubo de criptomoedas de carteiras como Binance, Coinbase, Kraken e Gemini.
Um Convite do Além: Como o Golpe Funciona
O processo de herança do LastPass é um recurso legítimo, pensado como uma espécie de testamento digital. Ele permite que um usuário designe contatos de confiança que, em caso de morte ou incapacidade, possam solicitar acesso ao seu cofre de senhas. Quando um pedido é feito, o titular da conta recebe uma notificação por e-mail e um período de espera é iniciado. Se não houver intervenção, o acesso é concedido. É exatamente essa mecânica que os golpistas estão pervertendo.
A vítima recebe um e-mail fraudulento que parece ser do LastPass, informando que um membro da família requisitou acesso ao seu cofre anexando um atestado de óbito. Segundo o comunicado da LastPass, a mensagem é elaborada para parecer autêntica, incluindo até um número de "ID de agente" para adicionar uma camada de legitimidade. O e-mail então instrui o usuário a clicar em um link para "cancelar a solicitação", caso, obviamente, ele não esteja morto.
É aí que a armadilha se fecha. O link redireciona para um site clone do LastPass, hospedado no domínio lastpassrecovery[.]com. A página apresenta um formulário de login idêntico ao original, esperando que o usuário, em pânico, insira sua preciosa senha mestra. Para aumentar a pressão, a LastPass relata que, em alguns casos, os criminosos chegam a telefonar para as vítimas, passando-se por funcionários da empresa e guiando-as para o site falso.
CryptoChameleon: A Evolução do Predador Digital
O grupo CryptoChameleon já havia mirado nos usuários do LastPass em abril de 2024, mas a campanha atual é descrita como mais extensa e aprimorada. A principal novidade é a inclusão de um novo alvo: as passkeys. A investigação, conforme publicado pelo site BleepingComputer, revelou o uso de domínios focados especificamente em roubar essa nova forma de autenticação, como mypasskey[.]info e passkeysetup[.]com.
Para quem não está familiarizado, as passkeys são a nova fronteira da autenticação sem senha, baseadas em criptografia assimétrica e vistas como o futuro da segurança digital. É quase poético, no sentido mais trágico da palavra, que um ataque que explora o passado (a morte) já esteja de olho no futuro da segurança. É como tentar arrombar uma porta de titânio com um pé de cabra enferrujado, mas, neste caso, o pé de cabra é uma engenharia social muito bem-executada.
Fantasmas do Passado: O Histórico do LastPass
Este incidente não ocorre no vácuo. Em 2022, o LastPass sofreu uma violação de dados de grande repercussão, na qual invasores conseguiram roubar backups de cofres de usuários. Embora os dados estivessem criptografados, a posse desses arquivos permitiu que criminosos realizassem ataques de força bruta offline e campanhas de phishing direcionadas, como a que vemos agora. Aquela violação resultou em perdas documentadas de aproximadamente 4,4 milhões de dólares em criptomoedas de usuários que tiveram suas senhas mestras comprometidas.
O ataque atual, portanto, se alimenta do medo e da desconfiança gerados por eventos passados. Os criminosos sabem que os usuários estão em alerta e usam isso contra eles, criando um senso de urgência que leva a erros. A tática é cruel, mas, do ponto de vista técnico, demonstra uma compreensão profunda do comportamento humano.
Protegendo seu Legado Digital
A conclusão é clara: a vigilância precisa ser constante. O ataque do CryptoChameleon mostra que nenhuma camada de segurança é impenetrável se o fator humano puder ser explorado. A combinação de e-mails, chamadas telefônicas e uma isca emocionalmente carregada cria um cenário perigoso para qualquer pessoa.
A recomendação é a de sempre, mas que vale a pena repetir: desconfie de comunicações inesperadas que pedem ação imediata. Nunca clique em links diretamente de e-mails suspeitos. Em vez disso, acesse o serviço em questão — seja o LastPass, seu banco ou qualquer outro — digitando o endereço oficial diretamente no navegador. Afinal, cuidar da segurança do seu legado digital é importante, mas é preciso estar vivo para fazer isso. E, até onde sabemos, fantasmas não costumam ser muito bons em lembrar senhas mestras.