Hackare riktar in sig på LastPass-användare med falska arvförfrågningar där de påstår att en familjemedlem har laddat upp ett dödsintyg för att få tillgång till deras valv. Nätfiskekampanjen, som upptäcktes i mitten av oktober 2025, kopplas till den ekonomiskt motiverade hotaktören CryptoChameleon.
Nätfiskekampanj utnyttjar LastPass arvfunktion
Angriparna skickar e-postmeddelanden som imiterar LastPass legitima arvprocess – en funktion som låter betrodda kontakter begära åtkomst till en användares valv vid dödsfall eller oförmåga. Offren får meddelanden som uppmanar dem att ”avbryta” åtkomstförfrågan genom att klicka på en länk om de fortfarande är vid liv.
Länken leder till en falsk webbplats, lastpassrecovery[.]com, som efterliknar den officiella inloggningssidan. När användarna anger sina uppgifter fångar angriparna deras huvudlösenord och får full tillgång till valven.
Hotaktörer riktar sig även mot passkeys
Enligt LastPass utökar CryptoChameleon nu sina metoder för att stjäla passkeys – en ny, lösenordsfri autentiseringsmetod som används av moderna lösenordshanterare. Angriparna har registrerat flera domäner, såsom mypasskey[.]info och passkeysetup[.]com, för att lura användare att skriva in sina uppgifter.
Vissa offer har till och med fått telefonsamtal från bedragare som utger sig för att vara LastPass-anställda och instruerar dem att verifiera sina konton på den falska webbplatsen.
Koppling till tidigare attacker
CryptoChameleon har en lång historia av nätfiskekampanjer som riktar sig mot lösenordshanterare och kryptoplånböcker, inklusive Binance, Coinbase, Kraken och Gemini. Samma grupp attackerade tidigare LastPass-användare under 2024, men den nya kampanjen är mer avancerad och omfattande.
LastPass drabbades också av ett stort intrång 2022 då angripare stal krypterade valvkopior, vilket ledde till sekundära attacker och omkring 4,4 miljoner dollar i stulen kryptovaluta.
Så kan användare skydda sig
LastPass uppmanar användare att ignorera oväntade e-postmeddelanden om arv eller åtkomstförfrågningar. Företaget rekommenderar att kontrollera alla aviseringar direkt i appen istället för att klicka på inbäddade länkar. Användare bör även aktivera multifaktorautentisering och undvika att återanvända lösenord mellan konton.
Slutsats
Den falska kampanjen med LastPass-dödsanspråk visar hur social manipulation fortfarande är ett kraftfullt verktyg för cyberbrottslingar. Genom att blanda känslomässig påverkan med legitima funktioner som arvåtkomst kan angripare lura även försiktiga användare. I takt med att lösenordshanterare utvecklas för att stödja passkeys kommer nya nätfiskemetoder att fortsätta uppstå – vilket gör vaksamhet avgörande för alla användare.
0 svar till ”Fejkade LastPass-dödsanspråk användes för att stjäla lösenordsvalv”