Hasta 29,000 usuarios del administrador de contraseñas Passwordstate descargaron una actualización maliciosa que extrajo datos de la aplicación y los envió a un servidor controlado por un atacante, dijo el fabricante de la aplicación a los clientes.
en un Email, el creador de Passwordstate, Click Studios, les dijo a los clientes que los malos actores comprometieron su mecanismo de actualización y lo usaron para instalar un archivo malicioso en las computadoras de los usuarios. El archivo, llamado “moserware.secretsplitter.dll”, contenía una copia legítima de una aplicación llamada SecretSplitter, junto con un código malicioso llamado “Loader”, según un breve informe de la empresa de seguridad CSIS Group.
El código del cargador intenta recuperar el archivo en https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip para que pueda recuperar una carga útil cifrada de segunda etapa. Una vez descifrado, el código se ejecuta directamente en la memoria. El correo electrónico de Click Studios decía que el código “extrae información sobre el sistema informático y selecciona los datos de estado de contraseña, que luego se publican en la red CDN de los malos actores”.
El compromiso de actualización de Passwordstate duró desde el 20 de abril a las 8:33 am UTC hasta el 22 de abril a las 12:30 am. El servidor del atacante se cerró el 22 de abril a las 7:00 am UTC.
El lado oscuro de los administradores de contraseñas
Los profesionales de la seguridad recomiendan regularmente administradores de contraseñas porque facilitan que las personas almacenen contraseñas largas y complejas que son únicas para cientos o incluso miles de cuentas. Sin el uso de un administrador de contraseñas, muchas personas recurren a contraseñas débiles que se reutilizan para varias cuentas.
La violación de Passwordstate subraya el riesgo que representan los administradores de contraseñas porque representan un único punto de falla que puede comprometer una gran cantidad de activos en línea. Los riesgos son significativamente menores cuando la autenticación de dos factores está disponible y habilitada porque las contraseñas extraídas por sí solas no son suficientes para obtener acceso no autorizado. Click Studios dice que Passwordstate ofrece múltiples opciones de 2FA.
La brecha es especialmente preocupante porque Passwordstate se vende principalmente a clientes corporativos que usan el administrador para almacenar contraseñas para firewalls, VPN y otras aplicaciones empresariales. Click Studios dice que Passwordstate “confía en más de 29 000 clientes y 370 000 profesionales de TI y seguridad en todo el mundo, con una base instalada que abarca desde las empresas más grandes, incluidas muchas empresas de Fortune 500, hasta las tiendas de TI más pequeñas”.
Otro ataque a la cadena de suministro
El compromiso de Passwordstate es el último ataque de cadena de suministro de alto perfil que ha salido a la luz en los últimos meses. En diciembre, una actualización maliciosa del software de administración de redes SolarWinds instaló una puerta trasera en las redes de 18 000 clientes. A principios de este mes, una herramienta de desarrollo actualizada llamada Codecov Bash Uploader extrajo tokens de autenticación secretos y otros datos confidenciales de las máquinas infectadas y los envió a un sitio remoto controlado por los piratas informáticos.
Las cargas útiles de la primera etapa cargadas en VirusTotal aquí y aquí mostraron que en el momento en que se publicaba esta publicación, ninguno de los 68 programas de protección de puntos finales rastreados detectó el malware. Hasta ahora, los investigadores no han podido obtener muestras de la carga útil de seguimiento.
Cualquiera que use Passwordstate debe restablecer de inmediato todas las contraseñas almacenadas, en particular las de firewalls, VPN, conmutadores, cuentas locales y servidores.
Los representantes de Click Studios no respondieron a un correo electrónico en busca de comentarios para esta publicación.