Somos Prensa
Tecnología

El administrador de contraseñas con puerta trasera robó datos de hasta 29.000 empresas

imágenes falsas

Hasta 29.000 usuarios del administrador de contraseñas Passwordstate descargaron una actualización maliciosa que extrajo datos de la aplicación y los envió a un servidor controlado por el atacante, dijo el fabricante de la aplicación a los clientes.

En un EmailEl creador de Passwordstate, Click Studios, dijo a los clientes que los delincuentes comprometieron su mecanismo de actualización y lo usaron para instalar un archivo malicioso en las computadoras de los usuarios. El archivo, llamado «moserware.secretsplitter.dll», contenía una copia legítima de una aplicación llamada SecretSplitter, junto con un código malicioso llamado «Loader», según un breve informe de la firma de seguridad CSIS Group.

Grupo CSIS

El código del cargador intenta recuperar el archivo de archivo en https: //passwordstate-18ed2.kxcdn[.]com / upgrade_service_upgrade.zip para que pueda recuperar una carga útil cifrada de segunda etapa. Una vez descifrado, el código se ejecuta directamente en la memoria. El correo electrónico de Click Studios decía que el código «extrae información sobre el sistema informático y selecciona los datos de Passwordstate, que luego se publican en la red CDN de los malos actores».

El compromiso de actualización de Passwordstate duró desde el 20 de abril a las 8:33 am UTC hasta el 22 de abril a las 12:30 am. El servidor atacante se cerró el 22 de abril a las 7:00 am UTC.

El lado oscuro de los administradores de contraseñas

Los profesionales de la seguridad recomiendan regularmente administradores de contraseñas porque facilitan que las personas almacenen contraseñas largas y complejas que son exclusivas de cientos o incluso miles de cuentas. Sin el uso de un administrador de contraseñas, muchas personas recurren a contraseñas débiles que se reutilizan para múltiples cuentas.

La violación de Passwordstate subraya el riesgo que plantean los administradores de contraseñas porque representan un único punto de falla que puede llevar al compromiso de una gran cantidad de activos en línea. Los riesgos son significativamente menores cuando la autenticación de dos factores está disponible y habilitada porque las contraseñas extraídas por sí solas no son suficientes para obtener acceso no autorizado. Click Studios dice que Passwordstate ofrece múltiples opciones de 2FA.

La violación es especialmente preocupante porque Passwordstate se vende principalmente a clientes corporativos que usan el administrador para almacenar contraseñas para firewalls, VPN y otras aplicaciones empresariales. Click Studios dice que Passwordstate cuenta con la «confianza de más de 29.000 clientes y 370.000 profesionales de seguridad y TI en todo el mundo, con una base de instalaciones que abarca desde las empresas más grandes, incluidas muchas empresas Fortune 500, hasta las tiendas de TI más pequeñas».

Otro ataque a la cadena de suministro

El compromiso de Passwordstate es el último ataque de alto perfil a la cadena de suministro que ha salido a la luz en los últimos meses. En diciembre, una actualización maliciosa para el software de gestión de red SolarWinds instaló una puerta trasera en las redes de 18.000 clientes. A principios de este mes, una herramienta de desarrollo actualizada llamada Codecov Bash Uploader extrajo tokens de autenticación secretos y otros datos confidenciales de las máquinas infectadas y los envió a un sitio remoto controlado por los piratas informáticos.

Las cargas útiles de la primera etapa subidas a VirusTotal aquí y aquí mostraron que, en el momento en que esta publicación se publicó, ninguno de los 68 programas de protección de endpoints detectados detectó el malware. Hasta ahora, los investigadores no han podido obtener muestras de la carga útil de seguimiento.

Cualquiera que use Passwordstate debe restablecer inmediatamente todas las contraseñas almacenadas, particularmente las de firewalls, VPN, conmutadores, cuentas locales y servidores.

Los representantes de Click Studios no respondieron a un correo electrónico en busca de comentarios para esta publicación.



Ver Fuente

Related posts

La base Thunderbolt 4 de OWC compensa la falta de puertos de las nuevas computadoras portátiles

Redacción

Actualización de reabastecimiento de PS5 hoy: rastree ahora en Twitter, Best Buy, Walmart y más

Redacción

Tesla Model S con volante Yoke llega a las calles públicas: primer vistazo

Redacción

Dejar Comentario