LastPass попередила користувачів про активну фішингову кампанію з підробленими листами про політики безпеки. Повідомлення надходять із lookalike newsletter- і compliance-доменів. Паралельна приманка націлена на користувачів Bitwarden. Лист веде на фальшиву сторінку DocuSign і схиляє завантажити файл. LastPass наголошує, що її системи не були скомпрометовані.
Якщо ви отримали такий лист, не натискайте кнопку й нічого не завантажуйте. Перевірте повну адресу відправника та відкрийте менеджер паролів через збережений застосунок або відомий сайт.

Як працює фальшивий лист про політику безпеки
Варіант LastPass надходив від hello@lastpassnewsletter[.]com із темою Action Required: Review Updated LastPass Security Policies. Використовувалися домени lastpassnewsletter[.]com і lastpasscompliance[.]com, які не належать LastPass. У варіанті для Bitwarden фігурували hello@bitwardennewsletter[.]com і bitwardencompliance[.]com.
- Терміновість: лист вимагає негайно переглянути правила безпеки або compliance.
- Підміна бренду: кнопка веде на тематичну сторінку, а далі — на фальшивий DocuSign.
- Тиск на завантаження: сторінка стверджує, що для документа потрібен desktop-застосунок.
- Ризик викрадення даних або malware: файл із такого ланцюжка є недовіреним. Master password, введений після переходу з листа, слід вважати розкритим.

Як відрізнити справжній лист від підробки
| Перевірка | Що має збігатися |
|---|---|
| Домен відправника | Листи LastPass мають надходити з офіційного домену LastPass. Bitwarden вказує адреси no-reply@ або no-reply@. Знайоме ім’я відправника не легітимізує сторонній домен. |
| Адреса переходу | Не довіряйте напису на кнопці. Перегляньте справжній host або взагалі не використовуйте посилання з листа. |
| Master password | Менеджер паролів не повинен автоматично підставляти master password на lookalike-домені. Не вводьте його на сторінці з неочікуваного листа. |
| Завантаження | Оновлення політики не повинно вимагати невідомий «DocuSign desktop application». |
Ім’я відправника, значок замка та скопійована графіка — слабкі сигнали. Повний домен, autofill менеджера паролів і спосіб, яким ви відкрили сторінку, важливіші. Схожі способи підміни входу описані в матеріалі про фішинг Microsoft кодом пристрою.
Що робити після кліку, введення пароля або запуску файла
- Лише відкрили сторінку: закрийте її, не дозволяйте notifications і скасуйте завантаження. Сам перехід ще не доводить злам сховища.
- Ввели master password: із надійного пристрою відкрийте офіційний застосунок або відомий сайт, змініть master password, завершіть інші сесії, перевірте MFA та активність, а потім змініть найцінніші паролі зі сховища.
- Завантажили, але не запускали: не відкривайте файл. Зафіксуйте його назву для report, видаліть і виконайте перевірку безпеки.
- Запустили файл: від’єднайте ПК від мережі, виконайте повне сканування, видаліть detections, перезавантажте систему та проскануйте ще раз. Паролі змінюйте лише з чистого пристрою. Подібний ризик пояснено в матеріалі про фейкові завантаження та RAT.
- Повідомте про приманку: LastPass просить надсилати відомості на
[email protected]. Для Bitwarden використовуйте support, відкритий з офіційного сайту.
Malware-завантаження може залишити процеси, persistence або інші компоненти. Видаліть detections, перезавантажте ПК і проскануйте повторно.
Індикатори для блокування та пошуку
| Індикатор | Роль у кампанії |
|---|---|
hello@lastpassnewsletter[.]com | Відправник LastPass-тематичного листа. |
lastpassnewsletter[.]com | Lookalike mail-домен. |
lastpasscompliance[.]com | Фальшива compliance- і DocuSign-сторінка. |
hello@bitwardennewsletter[.]com | Відправник паралельної Bitwarden-приманки. |
bitwardencompliance[.]com | Lookalike compliance-домен. |
Ці індикатори стосуються конкретної кампанії та не означають злам інфраструктури LastPass або Bitwarden. На момент публікації LastPass випустила окреме попередження, а офіційна довідка Bitwarden дала еталон легітимних адрес для порівняння.
Джерела
- LastPass. “LastPass alerts customers to active phishing campaign using lookalike domains; no impact to LastPass systems.” 13 липня 2026 року, дата доступу 14 липня 2026 року. Попередження LastPass.
- Bitwarden. “Emails from Bitwarden.” Дата доступу 14 липня 2026 року. Офіційна довідка про відправників.
- BleepingComputer. “LastPass, Bitwarden users targeted with fake security alerts.” 14 липня 2026 року, дата доступу 14 липня 2026 року. Підтвердження кампанії.
