Пользователей LastPass и Bitwarden атакуют через фальшивые обновления

Пользователей LastPass и Bitwarden атакуют через фальшивые обновления

Пользователей LastPass и Bitwarden атакуют через фальшивые обновления

Пользователи популярных менеджеров паролей LastPass и Bitwarden стали мишенью масштабной фишинговой кампании. Аферисты рассылают поддельные письма от имени корпораций, в которых утверждают, будто сервисы были взломаны, и предлагают «скачать более защищённую версию приложения».

Как выяснили специалисты BleepingComputer, по ссылке из письма на самом деле скачивается не обновление, а программа удалённого доступа Syncro — инструмент, который обычно используют ИТ-службы для администрирования систем.

В данном случае злоумышленники применяют Syncro, чтобы установить ещё одно легитимное средство удалённого доступа — ScreenConnect, дающее им полный контроль над устройством жертвы.

В LastPass уже предупредили, что никакого взлома не было, а рассылка — типичный пример социальной инженерии.

«У нас не было киберинцидента. Это попытка мошенников вызвать у пользователей тревогу и заставить их действовать поспешно», — заявили в компании.

По данным LastPass, рассылка началась в выходные — вероятно, чтобы воспользоваться тем, что в праздники службы безопасности работают в урезанном режиме.

Письма приходят с адресов вроде hello@lastpasspulse[.]blog и hello@lastpasjournal[.]blog и убеждают установить «новое безопасное приложение» вместо «устаревшей версии», якобы уязвимой ко взлому.

Аналогичные письма получают и пользователи Bitwarden — от адреса hello@bitwardenbroadcast[.]blog. В них та же схема и тот же «повод»: фиктивное предупреждение о взломе и ссылка на «обновлённый клиент».

Cloudflare уже заблокировала фишинговые страницы, указанные в рассылках, пометив их как мошеннические. Однако эксперты предупреждают, что злоумышленники могут возобновить кампанию с другими доменами.

После установки Syncro агент скрывает своё присутствие и подключается к серверу каждые полторы минуты. Получив доступ, злоумышленники могут установить дополнительную вредоносную программу, украсть данные или добраться до хранилища паролей пользователя.

В ИИ-приложениях почти каждая третья уязвимость оказалась высокорисковой

ИИ-приложения снова напоминают: если к обычному веб-сервису прикрутить большую языковую модель, магия появляется не только в презентации, но и в списке уязвимостей. По данным «Информзащиты», в 2026 году 32% уязвимостей, найденных при пентестах ИИ- и LLM-приложений, относятся к высокорисковым.

Для сравнения: по всем классам активов этот показатель составляет около 12%. То есть риск-профиль ИИ-приложений оказался в 2,7 раза выше среднего.

За второй год наблюдений пропорция не изменилась. Более того, медианный срок устранения серьёзных находок вырос с 19 дней в 2025 году до 36 дней в 2026-м.

Проблема в том, что ИИ-системы тащат за собой сразу два слоя риска. Первый — классика веба и API: аутентификация, авторизация, инъекции, секреты, обработка пользовательского ввода.

Второй — уже нейросетевой зоопарк: инъекции в промпт, утечки системного промпта, ошибки RAG-контуров, отравление данных, небезопасная обработка ответов LLM, проблемы в векторных хранилищах и отказ в обслуживании на уровне модели.

Особенно весело становится, когда модель подключают к корпоративным данным, CRM, базе знаний, API или инструментам автоматизации. В этот момент чат-бот перестаёт быть просто болталкой и получает возможность влиять на процессы. А ошибка в правах или логике вызовов превращает его в аккуратную дверь во внутренние системы.

Автоматическими сканерами всё это ловится плохо. По данным исследования, 78% команд сталкивались с тем, что такие средства пропускали критические уязвимости. Поэтому готовность полностью доверить пентесты автономным инструментам за год упала с 29% до 9%.

С устранением тоже не праздник. В 2026 году компании закрывали только 38,4% высокорисковых находок в ИИ / LLM-приложениях — это самый низкий показатель среди типов тестирования. Для API, например, он составил 77,3%.

RSS: Новости на портале Anti-Malware.ru