Un administrador de contraseñas de puerta trasera robó datos de hasta 29.000 organizaciones

El fabricante de la aplicación les dijo a los clientes que hasta 29.000 usuarios de Passwordstate habían descargado una actualización maliciosa que extraía datos de la aplicación y los enviaba a un servidor controlado por el atacante.

a Correo electrónicoCreador del estado de contraseña Haga clic en Estudios Se les ha dicho a los clientes que los delincuentes han roto su mecanismo de actualización y lo han utilizado para instalar un archivo malicioso en las computadoras del usuario. El archivo llamado «moserware.secretsplitter.dll» contiene una copia legítima de la aplicación llamada SecretSplitter, Junto con el código malicioso llamado «Loader», según A. Escritura breve De la empresa de seguridad CSIS Group.

Loader Code intenta recuperar el archivo de archivo en https: //passwordstate-18ed2.kxcdn[.]com / Upgrade_service_upgrade.zip para que pueda recuperar la carga útil cifrada de la segunda etapa. Una vez decodificado, el código se ejecuta directamente en la memoria. El correo electrónico de Click Studios decía que el código «extrae información sobre el sistema informático, selecciona los datos de Passwordstate, que luego se publican en el CDN para los malos actores».

El acuerdo de actualización de Passwordstate duró desde el 20 de abril a las 8:33 a.m. UTC hasta el 22 de abril a las 12:30 a.m. El servidor del atacante cerró el 22 de abril a las 7:00 a.m. UTC.

El lado oscuro de los administradores de contraseñas

Los profesionales de la seguridad recomiendan regularmente administradores de contraseñas porque facilitan que las personas almacenen contraseñas largas y complejas exclusivas para cientos o incluso miles de cuentas. Sin un administrador de contraseñas, muchas personas recurren a contraseñas débiles que se reutilizan para múltiples cuentas.

La violación del estado de la contraseña subraya el peligro que presentan los administradores de contraseñas, ya que representan un único punto de falla que puede conducir a la penetración de una gran cantidad de activos en línea. Los riesgos son significativamente menores cuando la autenticación de dos factores está disponible y habilitada porque las contraseñas extraídas por sí solas no son suficientes para obtener acceso no autorizado. Click Studios dice que Passwordstate está disponible Varias opciones 2FA.

El hackeo es especialmente preocupante porque Passwordstate se vende principalmente a clientes corporativos que usan el administrador para almacenar contraseñas para firewalls, VPN y otras aplicaciones empresariales. Haga clic en Estudios Dice Passwordstate «cuenta con la confianza de más de 29.000 clientes y 370.000 profesionales de tecnología y seguridad de TI en todo el mundo, con una base de instalación que se extiende desde las empresas más grandes, incluidas muchas empresas Fortune 500, hasta las tiendas de TI más pequeñas».

Otro ataque a la cadena de suministro

El hack de Passwordstate es el último ataque de alto perfil a la cadena de suministro que se ha revelado en los últimos meses. En diciembre, se realizó una actualización maliciosa para Software de gestión de red SolarWinds Portón trasero instalado en redes de 18.000 clientes. A principios de este mes, una herramienta para desarrolladores llamada Cargador de Codecov Bash Extraiga códigos de autenticación confidenciales y otros datos confidenciales de los dispositivos infectados y envíelos a un sitio remoto controlado por piratas informáticos.

Las cargas útiles de la fase 1 se han cargado en VirusTotal Aquí Y el Aquí Demostró que en el momento en que se publicó esta publicación, ninguno de los 68 programas de protección de endpoints detectados detectaba malware. Los investigadores aún no han podido obtener muestras de la carga útil de seguimiento.

Cualquiera que use Passwordstate debe restablecer instantáneamente todas las contraseñas almacenadas, especialmente aquellas para firewalls, VPN, claves, cuentas locales y servidores.

Los representantes de Click Studios no respondieron a un correo electrónico solicitando comentarios para esta publicación.