В начале октября 2025 года зафиксирована целенаправленная фишинговая кампания против пользователей менеджера паролей 1Password. Злоумышленники предприняли изощренную попытку получить учетные данные сотрудника компании Malwarebytes, что продемонстрировало серьезность угрозы для владельцев парольных менеджеров.
Описание
Получение доступа к учетной записи 1Password можно сравнить с выигрышем джекпота для киберпреступников. Обладая этими данными, злоумышленники потенциально могут экспортировать все сохраненные логины, которые жертва хранила в менеджере паролей, что открывает доступ к многочисленным аккаунтам.
Фишинговое письмо, отправленное 2 октября, содержало тревожное уведомление: "Ваша учетная запись 1Password скомпрометирована". В сообщении утверждалось, что функция Watchtower обнаружила пароль учетной записи в утечке данных и требовала немедленных действий, включая смену пароля, включение двухфакторной аутентификации и проверку активности аккаунта.
Несмотря на убедительный внешний вид письма, эксперты выявили несколько характерных признаков мошенничества. Адрес отправителя watchtower@eightninety[.]com не принадлежал официальному домену 1Password, который обычно использует домен @1password.com. При наведении курсора на кнопку "Защитить мою учетную запись" становилось видно, что ссылка ведет на подозрительный домен onepass-word[.]com через сервис переадресации mandrillapp[.]com.
Функция Watchtower в 1Password действительно отправляет предупреждения о скомпрометированных паролях, но делает это путем проверки базы данных известных утечек и уведомления пользователей непосредственно в приложении 1Password или через специальные письма о конкретных нарушениях, а не посредством общих сообщений.
Интересной деталью стало то, что ссылка "Связаться с нами" вела на легитимный домен поддержки 1Password, хотя также проходила через переадресацию mandrillapp. Mandrillapp представляет собой транзакционный API для электронной почты и службу доставки, предоставляемую Mailchimp, которая позволяет организациям отправлять автоматизированные письма, такие как подтверждения заказов, сбросы паролей и уведомления о доставке.
Как выяснилось, злоумышленники, возможно, не учли, что Mandrillapp не перенаправляет пользователей на известные фишинговые сайты. Уже через короткое время после рассылки писем 2 октября домен был классифицирован как фишинговый несколькими поставщиками услуг безопасности. К 3 октября пользователи, которые кликали на кнопку, видели сообщение об ошибке на mandrillapp[.]com с указанием "неверный URL".
Однако те, кто отреагировал на письмо в первые часы, видели поддельную форму входа, предназначенную для сбора учетных данных 1Password. Любая жертва, поддавшаяся на эту уловку, отправляла свои учетные данные напрямую фишинговой группе.
Аналогичная фишинговая кампания была зафиксирована ранее, 25 сентября 2025 года, о чем сообщил ресурс Hoax-Slayer. Это может указывать на то, что текущая атака была не первой и, вероятно, не последней попыткой злоумышленников получить доступ к парольным менеджерам.
Специалисты по кибербезопасности подчеркивают, что скомпрометированные учетные данные менеджера паролей открывают киберпреступникам доступ ко всем важным аккаунтам жертвы и потенциально позволяют совершить кражу личности. Пользователям рекомендуется проявлять особую бдительность при вводе учетных данных 1Password и всегда проверять подлинность полученных уведомлений о безопасности через официальные каналы связи.
