Selon le blog officiel de LastPass (05/03/2026), l’équipe Threat Intelligence, Mitigation, and Escalation (TIME) alerte ses clients d’une campagne de phishing active débutée autour du 1er mars 2026, sans impact sur les systèmes LastPass.

  • 🎣 Le cœur de l’attaque repose sur des fils d’e-mails factices qui simulent des échanges internes sur des actions non autorisées (export de coffre, récupération de compte, enregistrement de nouvel appareil, etc.). Les attaquants utilisent la spoofing du display name pour faire apparaître “LastPass” comme expéditeur, en pariant sur le fait que de nombreux clients mail (notamment mobiles) n’affichent que le nom et masquent l’adresse réelle.

  • Les messages poussent les cibles à « signaler une activité suspecte », « verrouiller le coffre » ou « révoquer un appareil » via des liens malveillants qui redirigent vers un faux portail SSO LastPass hébergé sur le domaine principal https[:]//verify-lastpass[.]com, avec des variantes de liens différenciées par des numéros de requête.

  • L’objectif est le vol d’identifiants via la collecte des informations sur une page SSO contrefaite. LastPass confirme travailler avec des partenaires tiers pour démanteler rapidement ces sites et rappelle qu’aucun employé LastPass ne demandera jamais le mot de passe maître.

  • L’article fournit des indicateurs de compromission (IoC) détaillés (URLs, domaines, IPs), ainsi que les adresses d’expéditeurs et sujets d’e-mails utilisés. Il remercie les clients ayant déjà signalé ces e-mails et invite à soumettre tout doute à abuse@lastpass.com.

Il s’agit d’une alerte de sécurité visant à informer les clients d’une campagne de phishing en cours et à partager des IoC/TTPs pour faciliter la détection et la neutralisation.

IOCs

  • Domaine de phishing principal:
    • verify-lastpass[.]com (utilisé comme page de faux SSO; multiples URLs avec paramètres numérotés)
  • URLs malveillantes (avec redirections et IPs de service au moment de la publication):
    • http[:]//url6163[.]hancochem[.]at/… → https[:]//verify-lastpass[.]com/login?13 | IP: 172.67.200[.]82
    • http[:]//email[.]mg[.]atomicminerals[.]ca/… → /login?14 | IP: 172.67.200[.]82
    • https[:]//u48791940[.]ct[.]sendgrid[.]net/… → /login?12 | IP: 104.21.21[.]204
    • https[:]//u44889439[.]ct[.]sendgrid[.]net/… → /login?6 | IP: 52.102.103[.]4
    • https[:]//u36129518[.]ct[.]sendgrid[.]net/… → /login?14 | IP: 104.21.21[.]204
    • https[:]//u8790117[.]ct[.]sendgrid[.]net/… → /login?13 | IP: 52.102.103[.]12
    • http[:]//email[.]mg[.]79resources[.]com/… → /login?11 | IP: 104.21.21[.]204
    • http[:]//email[.]mg[.]redlakegold[.]ca/… → /login?6 | IP: 52.102.103[.]50
    • http://email.mg.redlakegold.ca/… → /login?6 | IP: 104.21.21[.]204
    • http[:]//email[.]mg[.]bedfordmetals[.]com/… → /login?5 | IP: 104.21.21[.]204
    • http[:]//email[.]mg[.]bedfordmetals[.]com/… → /login?5 | IP: 172.67.200[.]82
  • Adresses d’expéditeurs observées:
  • Sujets d’e-mails observés:
    • “Re: the details”; “Re: pending approval”; “Re: Access request pending”; “Re: FYI”; “RE: sign-in — TRZ-2302300”; “Fwd: Re: your request”; “Re: credential download”

TTPs (techniques, tactiques, procédures)

  • Usurpation du nom d’affichage (display name spoofing) pour faire apparaître “LastPass” comme expéditeur
  • Construction de chaînes d’e-mails falsifiées pour créer un contexte et de l’urgence
  • Redirections multiples vers un faux portail SSO (verify-lastpass[.]com) pour collecte d’identifiants
  • Utilisation de liens de tracking/relai (p. ex. SendGrid ct.sendgrid[.]net, email.mg.*) et de paramètres numérotés pour multiplier les URLs
  • Exploitation des clients mail mobiles qui masquent l’adresse réelle derrière le nom d’affichage

🔗 Source originale : https://blog.lastpass.com/posts/march-2026-phishing-campaign-targeting-lastpass-customers