Click Studios, la empresa de software australiana detrás de la aplicación de gestión de contraseñas Passwordstate , ha notificado a los clientes que restablezcan sus contraseñas tras un ataque a la cadena de suministro.
La firma con sede en Adelaide dijo que un mal actor utilizó técnicas sofisticadas para comprometer el mecanismo de actualización del software y lo utilizó para lanzar malware en las computadoras de los usuarios.
Se dice que la violación ocurrió entre el 20 de abril a las 8:33 PM UTC y el 22 de abril a las 0:30 AM UTC, por un período total de aproximadamente 28 horas.
«Sólo los clientes que realizan in situ mejoras entre las horas indicadas anteriormente se cree que son afectados», la compañía dijo en un aviso. «Las actualizaciones manuales de Passwordstate no se ven comprometidas. Es posible que se hayan recopilado los registros de contraseñas de los clientes afectados».
El desarrollo fue informado por primera vez por el sitio de noticias de tecnología polaca Niebezpiecznik . No está claro de inmediato quiénes son los atacantes o cómo comprometieron la función de actualización del administrador de contraseñas. Click Studios dijo que se está llevando a cabo una investigación sobre el incidente, pero señaló que «el número de clientes afectados parece ser muy bajo».
Passwordstate es una solución local basada en web utilizada para la gestión de contraseñas empresariales, que permite a las empresas almacenar contraseñas de forma segura, integrar la solución en sus aplicaciones y restablecer contraseñas en una variedad de sistemas, entre otros. El software es utilizado por 29,000 clientes y 370,000 profesionales de seguridad y TI en todo el mundo, contando varias compañías Fortune 500 que abarcan verticales como banca, seguros, defensa, gobierno, educación y manufactura.
Según un análisis inicial compartido por la empresa de seguridad CSIS Group con sede en Dinamarca , la actualización con malware llegó en forma de un archivo ZIP, «Passwordstate_upgrade.zip», que contenía una versión modificada de una biblioteca llamada «moserware.secretsplitter». dll «(envíos de VirusTotal aquí y aquí ).
Este archivo, a su vez, estableció contacto con un servidor remoto para obtener una carga útil de segunda etapa («upgrade_service_upgrade.zip») que extrajo los datos de Passwordstate y exportó la información a la red CDN del adversario. Click Studios dijo que el servidor fue retirado el 22 de abril a las 7:00 a.m. UTC.
La lista completa de información comprometida incluye el nombre de la computadora, el nombre de usuario, el nombre de dominio, el nombre del proceso actual, la identificación del proceso actual, los nombres y las identificaciones de todos los procesos en ejecución, los nombres de todos los servicios en ejecución, el nombre para mostrar y el estado, la dirección del servidor proxy de la instancia de Passwordstate, los nombres de usuario y contraseñas …
Click Studios ha lanzado un paquete de revisiones para ayudar a los clientes a eliminar la DLL alterada del atacante y sobrescribirla con una variante legítima. La compañía también recomienda que las empresas restablezcan todas las credenciales asociadas con los sistemas externos (firewalls, VPN), así como la infraestructura interna (sistemas de almacenamiento, sistemas locales) y cualquier otra contraseña almacenada en Passwordstate.
La violación de Passwordstate se produce cuando los ataques a la cadena de suministro están emergiendo rápidamente como una nueva amenaza para las empresas que dependen de proveedores de software de terceros para sus operaciones diarias. En diciembre de 2020, una actualización fraudulenta del software de gestión de red SolarWinds Orion instaló una puerta trasera en las redes de hasta 18.000 clientes.
La semana pasada, la startup de auditoría de software Codecov alertó a los clientes que descubrió que su software había sido infectado con una puerta trasera el 31 de enero para obtener acceso a los tokens de autenticación para varias cuentas de software internas utilizadas por los desarrolladores. El incidente no salió a la luz hasta el 1 de abril.