На прошлой неделе мы сообщали о том, что австралийская компания Click Studios, стоящая за разработкой менеджера паролей Passwordstate, уведомила своих клиентов о взломе.
Passwordstate — локальное решение для управления паролями, которым, согласно официальной статистике разработчиков, пользуются более 370 000 ИБ- и ИТ-специалистов в 29 000 компаниях по всему миру.
В письме, которое получили все компании-клиенты Passwordstate, сообщалось, что инцидент произошел между 20 и 22 апреля 2021 года. Компания пострадала от атаки на цепочку поставок: злоумышленники распространили среди пользователей Passwordstate вредоносное обновление и в итоге заразили их машины малварью Moserware.
К сожалению, эта малварь успела передать на сервер преступников следующие данные пользователей: имя компьютера, имя пользователя, имя домена, имя текущего процесса, идентификатор текущего процесса, имя и идентификатор всех запущенных процессов, имена всех запущенных служб, отображаемое имя и статус, адрес прокси-сервера Passwordstate, имя пользователя и пароль.
То есть хранилище паролей Passwordstate было скомпрометировано, и разработчики писали, что обычно в таблице паролей содержатся хедер, имя пользователя, описание, GenericField1, GenericField2, GenericField3, примечания, URL и сам пароль.
После сообщения об инциденте Click Studios оказывает помощь пострадавшим по почте, предоставляя клиентам исправления, призванные удалить вредоносное ПО из их систем. Так как эти письма от Click Studios можно было найти в социальных сетях, ими не преминули воспользоваться злоумышленники.
Хакеры создали фишинговые копии посланий Click Studios, и принялись рассылать их некоторым пострадавшим клиентам, продвигая таким образом малварь Moserpass.
«Судя по всему, злоумышленники активно отслеживают социальные сети в поисках любой информации о взломе и эксплуатации. Важно, чтобы клиенты не публиковали в социальных сетях информацию, которая может быть использована злоумышленниками. Именно это произошло перед появлением фишинговых писем, которые копируют содержимое писем Click Studios. Если вы не уверены, что письмо пришло от нас, отправьте его в службу технической поддержки в виде вложения, — предупреждают представители компании в новом сообщении. — Фишинговая атака строится на том, что клиенты должны загрузить модифицированный файл исправления Moserware.zip из сети CDN, не контролируемой Click Studios (которая теперь, похоже, отключена). Первоначальный анализ показывает, что это недавно измененная версия вредоносного Moserware.dll, который при загрузке пытается использовать альтернативный сайт для получения пейлоада. Мы все еще анализируем этот файл полезной нагрузки».
