Хакеры взломали механизм обновления Passwordstate для рассылки вредоносного ПО

Неизвестные злоумышленники скомпрометировали механизм обновления корпоративного менеджера паролей Passwordstate и использовали его для установки вредоносной программы на системы пользователей.

Разработчик Passwordstate, компания Click Studios, уже разослала своим клиентам электронные письма с уведомлением об инциденте. Согласно данным на сайте Click Studios, список ее клиентов включает 29 тыс. компаний по всему миру, в том числе правительственные организации, а также фирмы в оборонной, финансовой, аэрокосмической и прочих сферах.

Согласно уведомлению, вредоносные обновления распространялись в период с 20 по 22 апреля. Как показало расследование , злоумышленники скомпрометировали функцию In-Place Upgrade и использовали ее для рассылки вредоносного обновления, представляющего собой zip архив “Passwordstate_upgrade.zip”, содержащий вредоносную DLL-библиотеку “moserware.secretsplitter.dll”. После установки вредонос, получивший название Moserware, связывался с управляющим сервером для запроса новых команд и дополнительной полезной нагрузки.

На данный момент неясно, какие дополнительные вредоносные модули загружались на скомпрометированные системы и какие действия выполняли злоумышленники, поскольку они отключили свой управляющий сервер сразу после обнаружения взлома.

Click Studios уже выпустила хотфикс, устраняющий вредоносное ПО. Специалисты рекомендуют пользователям Passwordstate как можно скорее сбросить все пароли, хранящиеся в менеджере, особенно для VPN, межсетевых экранов, коммутаторов, серверов и локальных учетных записей.