Tecnología

El administrador de contraseñas de puerta trasera robó datos de hasta 29.000 empresas

El administrador de contraseñas de puerta trasera robó datos de hasta 29.000 empresas

imágenes falsas

Hasta 29.000 usuarios del administrador de contraseñas Passwordstate han descargado una actualización maliciosa que extrajo datos de la aplicación y los envió a un servidor controlado por el atacante, dijo el fabricante de la aplicación.

En uno (n Correo electrónicoClick Studios, el creador de Passwordstate, les dijo a los clientes que los malos actores comprometieron el mecanismo de actualización e instalaron un archivo malicioso en las computadoras de los usuarios. El archivo con el nombre «moserware.secretsplitter.dll» contenía una copia legítima de una aplicación llamada SecretSplitter y el código malicioso «Loader», según una breve descripción de la empresa de seguridad CSIS Group.

Grupo CSIS

El código del cargador intenta recuperar el archivo de archivo en https: //passwordstate-18ed2.kxcdn[.]com / upgrade_service_upgrade.zip para que se pueda obtener una carga útil cifrada de segundo nivel. Después del descifrado, el código se ejecuta directamente en la memoria. El correo electrónico de Click Studios indicó que el código «extrae información sobre el sistema informático y selecciona los datos del estado de la contraseña que luego se publican en la red CDN de Bad Actors».

El compromiso de actualización del estado de contraseña duró desde el 20 de abril a las 8:33 a.m. UTC hasta el 22 de abril a las 12:30 p.m. El servidor atacante se cerró el 22 de abril a las 7:00 a.m. UTC.

El lado oscuro de los administradores de contraseñas

Los profesionales de la seguridad recomiendan regularmente administradores de contraseñas porque facilitan a los usuarios almacenar contraseñas largas y complejas que solo se aplican a cientos o incluso miles de cuentas. Sin utilizar un administrador de contraseñas, muchos usuarios recurren a contraseñas débiles que se reutilizan en varias cuentas.

La violación del estado de la contraseña resalta el riesgo de los administradores de contraseñas, ya que representan un punto único de falla que puede llevar al compromiso de una gran cantidad de activos en línea. Los riesgos son significativamente menores cuando la autenticación de dos factores está disponible y habilitada, ya que las contraseñas extraídas por sí solas no son suficientes para obtener acceso no autorizado. Según Click Studios, Passwordstate ofrece varias opciones de 2FA.

La violación es de particular preocupación ya que Passwordstate se vende principalmente a clientes corporativos que usan el administrador para almacenar contraseñas para firewalls, VPN y otras aplicaciones corporativas. Según Click Studios, Passwordstate «cuenta con la confianza de más de 29.000 clientes y 370.000 profesionales de TI y seguridad en todo el mundo. La base de instalación abarca desde las empresas más grandes, incluidas muchas empresas Fortune 500, hasta las tiendas de TI más pequeñas».

Otro ataque en la cadena de suministro

El compromiso de Passwordstate es el último ataque de alto perfil a la cadena de suministro descubierto en los últimos meses. En diciembre, una actualización maliciosa del software de gestión de red SolarWinds instaló una puerta trasera en las redes de 18.000 clientes. A principios de este mes, una herramienta de desarrollo actualizada llamada Codecov Bash Uploader extrajo tokens de autenticación secretos y otros datos confidenciales de las computadoras infectadas y los envió a una ubicación remota controlada por los piratas informáticos.

La carga útil de la fase uno cargada aquí y aquí en VirusTotal mostró que, en el momento de escribir este artículo, ninguno de los 68 programas de protección de endpoints detectados detectó el malware. Hasta ahora, los investigadores no han podido obtener muestras de la carga útil posterior.

Cualquiera que use Passwordstate debe restablecer inmediatamente todas las contraseñas guardadas, especialmente las de firewalls, VPN, conmutadores, cuentas locales y servidores.

Los representantes de Click Studios no respondieron a un correo electrónico solicitando un comentario sobre esta publicación.

Más populares

To Top