Administrador de contraseñas Passwordstate hackeado para implementar malware en – PanaTimes


Un misterioso actor de amenazas ha comprometido el mecanismo de actualización de la aplicación de administración de contraseñas empresarial Passwordstate y ha implementado malware en los dispositivos de sus usuarios, la mayoría de los cuales son clientes empresariales.

Un misterioso actor de amenazas ha comprometido el mecanismo de actualización de la aplicación de administración de contraseñas empresarial Passwordstate y ha implementado malware en los dispositivos de sus usuarios, la mayoría de los cuales son clientes empresariales.

Click Studios, la empresa de software australiana detrás de Passwordstate, ha notificado hoy a sus 29.000 clientes por correo electrónico.

Según una copia de las comunicaciones de la compañía, obtenida por el sitio de noticias de tecnología polaca Niebezpiecznik, la actualización con malware estuvo activa durante 28 horas entre el 20 de abril a las 20:33 UTC y el 22 de abril a las 00:30 UTC.

La empresa de seguridad danesa CSIS, que se ocupó de las secuelas de este ataque a la cadena de suministro, publicó hoy un análisis del malware del atacante. La empresa de seguridad dijo que el actor de amenazas obligó a las aplicaciones Passwordstate a descargar un archivo ZIP adicional llamado “Passwordstate_upgrade.zip” que contenía un archivo DLL llamado “moserware.secretsplitter.dll”. Después de la instalación, este archivo DLL haría ping a un servidor de control y comando remoto, desde donde solicitaría nuevos comandos y recuperaría cargas útiles adicionales.

Si bien inicialmente se desconocía qué recopilaban los atacantes de los sistemas infectados, en dos actualizaciones [PDF, PDF] publicado después de la publicación de este artículo, Click Studios dijo que el malware recopiló la siguiente información y la envió de vuelta a su servidor de comando y control:

Nombre de computadora, Nombre de usuario, Nombre de dominio, Nombre de proceso actual, Id. De proceso actual, Nombre e ID de todos los procesos en ejecución, Nombre de todos los servicios en ejecución, Nombre de visualización y estado, Contraseña Estado de la instancia de dirección del servidor proxy, Nombre de usuario y Contraseña

En otras palabras, se tomó el almacén de contraseñas. Según la compañía australiana, la siguiente información generalmente se incluye en la tabla de contraseñas:

Título, Nombre de usuario, Descripción, GenericField1, GenericField2, GenericField3, Notas, URL, Contraseña

Aunque la empresa dijo que “no hay evidencia de que se hayan tomado claves de cifrado o cadenas de conexión a la base de datos”, Juan Andres Guerrero-Saade, investigador principal de amenazas de SentinelOne, señaló en Twitter que actualmente hay herramientas disponibles que pueden descifrar las bóvedas de Passwordstate y recuperar contraseñas de texto sin cifrar.

Click Studios lanzó un paquete de revisiones [ZIP] eso ayudaría a los clientes a eliminar el malware del atacante, que la empresa denominó Moserware. [instructions are in the image above]

Click Studios dijo que el hackeo tuvo lugar después de que un actor de amenazas comprometiera la “funcionalidad de actualización in situ” de una red CDN no controlada por Click Studios. Solo el cliente de Windows de la compañía parece haber sido modificado para agregar malware al ataque.

29.000 empresas ahora tienen que rotar contraseñas

A raíz de esta violación de seguridad, la firma australiana les ha dicho a los clientes que cambien todas las contraseñas que almacenaban dentro de los administradores de contraseñas de Passwordstate comprometidos lo antes posible.

Dado que este es un administrador de contraseñas que se vende principalmente a granel a empresas, a quienes se anuncia como un sistema local, el cambio de contraseñas no implicará solo cuentas de correo electrónico y sitios web, sino también contraseñas para equipos internos como firewalls, VPN, conmutadores, enrutadores, puertas de enlace de red y otros, que muchos empleados probablemente habrían guardado dentro de la aplicación pensando que era un sistema de almacenamiento local seguro.

“Esta es una brecha realmente molesta”, dijo a The Record William Thomas, analista de malware de la firma de seguridad británica Cyjax. “Imagínese tener que cambiar todas sus contraseñas para cada dispositivo en la red, un viernes”.

Varios administradores de red le dijeron a The Record el viernes que tuvieron que trabajar durante el fin de semana para cambiar las contraseñas de todo su inventario de TI como resultado de la violación. Muchas empresas también tienen la intención de activar planes de respuesta a incidentes para verificar los registros en busca de acceso no autorizado como resultado de este incidente, lo que resulta en muchas horas extra para su ya abrumado personal de seguridad.

.



Source link