Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il 21 gennaio 2026, LastPass ha messo in guardia i propri utenti riguardo a una nuova e attiva campagna di phishing volta a sottrarre le master password dei clienti attraverso false comunicazioni ufficiali.
Secondo il team TIME (Threat Intelligence, Mitigation, and Escalation) di LastPass, l’attacco ha avuto inizio intorno al 19 gennaio 2026 e sfrutta tattiche di ingegneria sociale per indurre un senso di urgenza.
Le email fraudolente utilizzano il pretesto di una manutenzione imminente del servizio, intimando i destinatari a creare un backup locale del proprio “vault” (cassaforte delle password) entro un limite di 24 ore. Per massimizzare l’efficacia dell’inganno, i messaggi presentano diversi oggetti, tra cui:
Il meccanismo d’attacco prevede un link che indirizza inizialmente a un bucket AWS (group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf) per poi reindirizzare la vittima sul dominio malevolo mail-lastpass[.]com, progettato per imitare l’interfaccia originale di LastPass e catturare la master password inserita.
LastPass ha ribadito fermamente che non richiederà mai la master password tramite email né forzerà gli utenti a compiere azioni immediate sotto pressione. L’azienda sta collaborando con partner esterni per smantellare l’infrastruttura fraudolenta e ha confermato che le email provengono dai seguenti indirizzi sospetti:
L’azienda invita tutti gli utenti a prestare la massima attenzione, a non cliccare su link sospetti e a segnalare eventuali anomalie tramite i canali ufficiali.
