Frenesia delle feste: i cybercriminali si spacciano per LastPass in un sofisticato furto di password
Sottotitolo: Una nuova campagna di phishing sfrutta falsi avvisi di manutenzione per rubare le password principali agli ignari utenti di LastPass.
Tutto è iniziato con un’email dall’aspetto innocuo durante un tranquillo weekend festivo: un messaggio, apparentemente proveniente dall’assistenza LastPass, che avvertiva gli utenti di eseguire con urgenza il backup dei propri vault. Ma dietro il branding curato e il tono pressante si nascondeva un attacco informatico meticolosamente orchestrato, progettato per rubare le chiavi dei regni digitali degli utenti: le loro password principali.
L’anatomia di una truffa digitale
Questa ultima campagna, emersa il 19 gennaio 2026, è un esempio da manuale dell’evoluzione del copione dei cybercriminali. Gli attaccanti, spacciandosi per personale LastPass, inviano in massa email convincenti che intimano agli utenti di eseguire il backup del proprio vault di password entro 24 ore, presumibilmente a causa di una “manutenzione urgente”. Il vero obiettivo? Indurre le vittime a consegnare la propria password principale, concedendo ai ladri accesso a un tesoro di credenziali.
La tempistica non è casuale. Lanciata durante un weekend festivo negli Stati Uniti, la campagna approfitta della riduzione del personale IT e dei tempi di risposta più lenti, offrendo ai criminali un vantaggio cruciale. Una tempistica così calcolata è un tratto distintivo dei moderni attori della minaccia, che cercano di massimizzare la finestra di compromissione prima che i difensori se ne accorgano.
Le fondamenta tecniche dell’attacco sono astute quanto l’ingegneria sociale. Le vittime vengono prima reindirizzate tramite un link ospitato su infrastruttura Amazon Web Services (AWS) compromessa-nello specifico, un bucket S3 camuffato per apparire legittimo. Da lì, gli utenti approdano su un dominio falsificato quasi indistinguibile dal vero sito LastPass, completo di falsi indirizzi email di supporto e intestazioni progettate per eludere i filtri antispam di base.
L’infrastruttura degli attaccanti include molteplici endpoint di comando e controllo e una giostra a rotazione di indirizzi mittente, come support@sr22vegas[.]com e support@lastpass[.]server8. Questi dettagli rendono più difficile per le difese automatizzate bloccare la campagna in modo netto, sottolineando la necessità di vigilanza da parte degli utenti.
LastPass ha confermato che non richiederà mai password principali o backup urgenti del vault tramite email non sollecitate. L’azienda sta collaborando con i partner per smantellare l’infrastruttura malevola e invita gli utenti a segnalare i messaggi sospetti a abuse@lastpass.com.
Restare un passo avanti al phishing
Per organizzazioni e singoli individui, questo episodio è un promemoria inequivocabile: anche i brand più fidati possono essere trasformati in armi dai cybercriminali. Gli esperti di sicurezza raccomandano di implementare filtri email per bloccare gli indirizzi mittente malevoli noti, formare il personale a riconoscere i segnali rivelatori del phishing-come linguaggio urgente e richieste di password-e mantenere un sano scetticismo verso qualsiasi avviso di manutenzione non richiesto.
Conclusione
Man mano che gli attaccanti diventano sempre più sofisticati, la consapevolezza degli utenti resta la prima linea di difesa. Nella battaglia per le nostre identità digitali, un attimo di cautela può fare la differenza tra la sicurezza e una violazione devastante. Nel mondo del cybercrimine, non ogni messaggio urgente è ciò che sembra.
WIKICROOK
- Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
- Password principale: Una password principale è la password che sblocca tutte le altre password memorizzate in un gestore di password, fornendo accesso sicuro alle tue credenziali.
- Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
- AWS S3: AWS S3 è il servizio di archiviazione cloud di Amazon, che consente l’archiviazione e il recupero sicuri e scalabili di dati e file per aziende e privati.
- Dominio falsificato: Un dominio falsificato è un indirizzo web finto creato per sembrare reale, usato dagli attaccanti per ingannare gli utenti e rubare informazioni sensibili.




