Malware a través de una actualización de Passwordstate

Se ha descubierto un ataque de malware distribuido a través de la cadena de suministro del administrador de contraseñas Passwordstate.

Passwordstate es un gestor de contraseñas desarrollado por la empresa australiana Click Studios y utilizado por miles de usuarios tanto a nivel personal como empresarial en sectores como el aeroespacial, bancario, defensa, sanitario, servicios públicos entre otros.

La empresa Click Studios ha emitido un comunicado alertando de que la funcionalidad de actualización ‘In-Place Upgrade’ de su administrador de contraseñas Passwordstate resultó comprometida el pasado martes. Como consecuencia, cualquier actualización realizada a través de dicha funcionalidad entre el 20 de abril a las 8:33 p.m. UTC y el 22 de abril a las 0:30 a.m. UTC se ha podido ver afectada y descargado el fichero Passwordstate_upgrade.zip desde una red no controlada por Click Studios.

Al procesarse este ZIP, se carga en el sistema una versión modificada del fichero moserware.secretsplitter.dll (de un tamaño de 65kb), se procede a la descarga de otro fichero upgrade_service_upgrade.zip y se almacena en memoria el malware que comienza a extraer y recopilar información para enviarla a los atacantes. Entre estos datos se encuentra información sobre el equipo informático y datos de Passwordstate (Title, UserName, URL, Password, Description, GenericField1, GenericField2, GenericField3, Notes).

Aunque el centro de comando y control (C&C) del malware fue neutralizado el 22 de abril, Click Studios recomienda a sus clientes comprobar si tamaño de la DLL moserware.secretsplitter.dll ubicada en la ruta C:inetpubpasswordstatebin es de 65kb ya que este es un indicativo de que se han visto afectados y el sistema podría estar infectado. Además insta a sus usuarios a que cambien todas las contraseñas almacenadas.

Los investigadores de CSIS Security Group han analizado el incidente, al que han llamado ‘Moserpass‘, y descubierto varios indicadores de compromiso (IoC) que han compartido en su informe. Con el objetivo de que puedan ser utilizados para verificar si un equipo ha resultado afectado por este ataque, se listan los IoC a continuación:

DLL maliciosa:
f23f9c2aaf94147b2c5d4b39b56514cd67102d3293bdef85101e2c05ee1c3bf9
Moserware.SecretSplitter.dll
User-Agent:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari/537.36
C&C:
hxxps://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip
(seguido de un parámetro ‘id‘ cuyo valor es una marca temporal o timestamp de la fecha actual)
C&Cs alternativos:
passwordstate-18ed0.kxcdn[.]com
passwordstate-18ed1.kxcdn[.]com
passwordstate-18ed4.kxcdn[.]com
passwordstate-18ed5.kxcdn[.]com
passwordstate-8665.kxcdn[.]com

Más información:
Supply chain attack on the password manager Clickstudios – PASSWORDSTATE
https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/

INCIDENT MANAGEMENT ADVISORY #01
https://www.clickstudios.com.au/advisories/Incident_Management_Advisory-01-20210424.pdf

La entrada Malware a través de una actualización de Passwordstate se publicó primero en Una al Día.