Идет фишинговая кампания против пользователей LastPass и Bitwarden. В поддельных письмах сообщается о взломе и предлагается загрузить «безопасную» десктопную версию. Фактически устанавливается инструмент удаленного мониторинга и управления (RMM) Syncro.
С помощью Syncro злоумышленники развертывают программу для удаленного доступа ScreenConnect. LastPass официально опровергла факт взлома, назвав письма социальной инженерией. Атака была приурочена к выходным для задержки обнаружения.
Письма отправлялись с доменов lastpasspulse.blog и lastpasjournal.blog для LastPass и hello@bitwardenbroadcast.blog для Bitwarden. Установленный агент Syncro скрывает свой значок и отключает антивирусные решения Emsisoft, Webroot и Bitdefender. Это позволяет злоумышленникам действовать незаметно.
Получив доступ через ScreenConnect, атакующие могут похищать данные, включая пароли из хранилищ, и развертывать иное вредоносное ПО. Компания Syncro подтвердила блокировку вредоносных учетных записей, подчеркнув, что их платформа не была скомпрометирована. Ранее похожая, но не связанная атака была нацелена на пользователей 1Password.