Selon BleepingComputer, une campagne de phishing en cours vise les utilisateurs des gestionnaires de mots de passe LastPass et Bitwarden.
- Les attaquants diffusent des emails frauduleux qui prétendent que les entreprises ont été piratées.
- Ces messages poussent les victimes à télécharger une soi‑disant version desktop “plus sécurisée” des gestionnaires de mots de passe.
🎣 Campagne de phishing visant les utilisateurs de LastPass, Bitwarden et 1Password
Une campagne de phishing cible actuellement les utilisateurs de LastPass et Bitwarden avec de faux courriels affirmant que les entreprises ont été piratées. Les messages incitent les destinataires à télécharger une prétendue version de bureau « plus sécurisée » du gestionnaire de mots de passe. En réalité, le fichier installe Syncro, un outil de supervision à distance (RMM) utilisé par les prestataires de services managés, que les attaquants détournent pour déployer ScreenConnect, leur permettant de prendre le contrôle des appareils infectés.
LastPass a confirmé qu’aucune intrusion n’avait eu lieu et que les messages provenaient d’un acteur malveillant exploitant des techniques d’ingénierie sociale. Les faux courriels prétendent remplacer l’ancien format .exe jugé vulnérable et proviennent d’adresses comme hello@lastpasspulse[.]blog ou hello@lastpasjournal[.]blog. Bitwarden est également visé, via hello@bitwardenbroadcast.blog. Cloudflare a depuis bloqué les pages frauduleuses et les a signalées comme phishing.
L’analyse de BleepingComputer montre que le malware installe l’agent Syncro configuré pour masquer son icône et communiquer toutes les 90 secondes avec son serveur de commande. L’outil sert uniquement à déployer ScreenConnect, donnant un accès total à distance. Syncro précise avoir supprimé les comptes malveillants et assure que sa plateforme n’a pas été compromise.
Une campagne parallèle cible aussi les utilisateurs de 1Password, avec de faux messages envoyés depuis watchtower@eightninety[.]com, redirigeant vers le site frauduleux onepass-word[.]com. Les chercheurs de Malwarebytes ont confirmé que ces pages demandent le mot de passe maître, ce qu’aucun fournisseur légitime ne ferait. L’attaque a été signalée pour la première fois le 25 septembre par Brett Christensen (Hoax-Slayer).
Les utilisateurs doivent ignorer ces messages, ne cliquer sur aucun lien, et vérifier les alertes uniquement depuis les sites officiels. Les entreprises de gestion de mots de passe rappellent qu’elles ne demandent jamais le mot de passe maître et publient toujours leurs alertes via leurs blogs ou communiqués officiels.
Source : BleepingComputer – 16 octobre 2025
Il s’agit d’un article de presse spécialisé dont le but est d’alerter sur une campagne de phishing en cours et d’en décrire les techniques.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/fake-lastpass-bitwarden-breach-alerts-lead-to-pc-hijacks/