Administrador de contraseñas golpeado por un ataque a su cadena de suministro

Click Studios, la compañía detrás del administrador de contraseñas empresariales Passwordstate, notificó a los clientes que los atacantes comprometieron el mecanismo de actualización de la aplicación para entregar malware en un ataque a la cadena de suministro después de violar sus redes.

Captura de pantalla del administrador de contraseñas Passwordstate de Click Studios.

Passwordstate es una solución de gestión de contraseñas local utilizada por más de 370.000 profesionales de seguridad y TI en 29.000 empresas en todo el mundo, como afirma la empresa.

Su lista de clientes incluye empresas (muchas de ellas en el ranking Fortune 500) de una amplia gama, que incluyen gobierno, defensa, finanzas, aeroespacial, minorista, automotriz, atención médica, legal y medios de comunicación.

Según un correo electrónico de notificación sobre el ataque a la cadena de suministro enviado a los clientes, los clientes descargaron potencialmente actualizaciones maliciosas entre el 20 y el 22 de abril.

«El análisis inicial indica que el mal actor que utilizó técnicas sofisticadas había comprometido la funcionalidad de actualización in situ», dijo Click Studios a los clientes en un correo electrónico con el título «Confirmación de archivos mal formados y curso de acción esencial».

«Cualquier actualización local realizada entre el 20 de abril a las 8:33 p.m. UTC y el 22 de abril a las 0:30 a.m. UTC tenía el potencial de descargar un Passwordstate_ipgrade.zip [..] con formato incorrecto procedente de una red de descarga no controlada por Click Studios», el empresa agregada.

Notificación de ClickStudios

Notificación de ClickStudios ( Niebezpiecznik ).

«Los atacantes agregaron crudamente una sección de código ‘Loader’, solo 4 KB adicionales de una versión anterior» al código original de Passwordstate, dijo  JA Guerrero-Saade, investigador principal de amenazas de SentinelOne.

«De un vistazo, Loader tiene la funcionalidad para extraer una carga útil de la siguiente etapa del C2 anterior. También hay un código para analizar la configuración global de la bóveda ‘PasswordState’ (nombre de usuario / contraseña de proxy, etc.)».

Información del sistema recopilada de malware, datos de Passworrdstate 

Una vez implementado, el malware recopilaría información del sistema y datos de Passwordstate, que luego se envían a los servidores controlados por el atacante.

Click Studios aconseja a los clientes que han actualizado su cliente durante la infracción que restablezcan todas las contraseñas en su base de datos de Passworrdstate.

También recomienda priorizar el restablecimiento de la contraseña de la siguiente manera:

  • todas las credenciales para sistemas expuestos a Internet (cortafuegos, VPN, sitios web externos, etc.)
  • todas las credenciales para la infraestructura interna
  • todas las credenciales restantes

La compañía también lanzó una revisión [ZIP] para ayudar a los usuarios de Passwordstate a eliminar el malware denominado Moserware siguiendo las instrucciones de la notificación por correo electrónico vinculada anteriormente.