Kompromitteret opdateringsmekanisme til Passwordstate skubber malware, der stjæler data.

Backdoored password manager stole data from as many as 29K enterprises

Så mange som 29.000 brugere af Passwordstate password manager downloadede en ondsindet opdatering, der udpakkede data fra appen og sendte den til en hackerstyret server, fortalte appproducenten kunderne.

I en e-mailfortalte Passwordstate-skaberen Click Studios kunderne, at dårlige skuespillere kompromitterede opgraderingsmekanismen og brugte den til at installere en ondsindet fil på brugercomputere. Filen, der hedder “moserware.secretsplitter.dll”, indeholdt en legitim kopi af en app kaldet SecretSplittersammen med ondsindet kode med navnet “Loader”, ifølge en kort opskrivning fra sikkerhedsfirmaet CSIS Group.

CSIS-gruppen

Loader-koden forsøger at hente filarkivet på https://passwordstate-18ed2.kxcdn[.] com / upgrade_service_upgrade.zip, så det kan hente en krypteret anden fase nyttelast. Når koden er dekrypteret, udføres den direkte i hukommelsen. E-mailen fra Click Studios sagde, at koden “udtrækker oplysninger om computersystemet og vælger Passwordstate-data, som derefter sendes til de dårlige skuespilleres CDN-netværk.”

Den Passwordstate opdatering kompromis varede fra april 20 kl 8:33 UTC til april 22 kl 12:30. Angriberen serveren blev lukket ned på April 22 kl 7:00 UTC.

Den mørke side af adgangskodeadministratorer

Sikkerhedsmedarbejdere anbefaler regelmæssigt adgangskodeadministratorer, fordi de gør det nemt for folk at gemme lange, komplekse adgangskoder, der er unikke for hundreder eller endda tusinder af konti. Uden brug af en adgangskodeadministrator tyer mange mennesker til svage adgangskoder, der genbruges til flere konti.

Passwordstate-overtrædelsen understreger den risiko, som adgangskodeadministratorer udgør, fordi de repræsenterer et enkelt fejlpunkt, der kan føre til kompromis af et stort antal online aktiver. Risiciene er betydeligt lavere, når tofaktorgodkendelse er tilgængelig og aktiveret, fordi udpakkede adgangskoder alene ikke er nok til at få uautoriseret adgang. Klik på Studios siger, at Passwordstate indeholder flere 2FA-indstillinger.

Overtrædelsen er især bekymrende, fordi Passwordstate primært sælges til erhvervskunder, der bruger manageren til at gemme adgangskoder til firewalls, VPN’er og andre virksomhedsprogrammer. Click Studios siger Passwordstate er “betroet af mere end 29.000 kunder og 370.000 sikkerheds-og it-fagfolk rundt om i verden, med en installationsbase spænder fra den største af virksomheder, herunder mange Fortune 500 virksomheder, til den mindste af it-butikker. “

Endnu et angreb i forsyningskæden

Passwordstate-kompromiset er det seneste højt profilerede forsyningskædeangreb, der er kommet frem i lyset i de seneste måneder. I december installerede en ondsindet opdatering til SolarWinds-netværksadministrationssoftwaren en bagdør på netværk af 18.000 kunder. Tidligere i denne måned udtrak et opdateret udviklerværktøj kaldet Codecov Bash Uploader hemmelige godkendelsestokens og andre følsomme data fra inficerede maskiner og sendte dem til et eksternt websted, der styres af hackerne.

Første fase nyttelast uploadet til VirusTotal her og her viste, at på det tidspunkt dette indlæg gik live, ingen af de 68 sporede slutpunkt beskyttelsesprogrammer opdaget malware. Forskere har hidtil ikke været i stand til at få prøver af den opfølgende nyttelast.

Enhver, der bruger Passwordstate, bør straks nulstille alle de gemte adgangskoder, især dem til firewalls, VPN’er, switches, lokale konti og servere.

Repræsentanter fra Click Studios svarede ikke på en e-mail, der søgte kommentar til dette indlæg.

Leave a Reply

Your email address will not be published. Required fields are marked *