后门密码管理器窃取了多达29,000个组织的数据

该应用程序制造商告诉客户，多达29,000个“密码状态”用户下载了一个恶意更新，该更新从该应用程序中提取了数据并将其发送到受攻击者控制的服务器上。

在 电子邮件密码状态创建者 点击工作室 客户端被告知，不良行为者破坏了升级机制，并使用该机制在用户计算机上安装了恶意文件。 名为“ moserware.secretsplitter.dll”的文件包含名为以下内​​容的应用程序的合法副本： 秘密分裂者，据A称，还有称为“加载程序”的恶意代码。 简短的写作 来自安全公司CSIS Group。

加载程序代码尝试通过以下网址检索文件存档：//passwordstate-18ed2.kxcdn[.]com / Upgrade_service_upgrade.zip，以便它可以检索加密的第二阶段有效负载。 解码后，代码将直接执行到内存中。 来自Click Studios的电子邮件中说，该代码“提取有关计算机系统的信息，选择Passwordstate数据，然后将其张贴在CDN上以供不法之徒使用。”

Passwordstate更新结算从UTC的4月20日上午8:33持续到4月22日的12:30 AM。 攻击者的服务器于世界标准时间4月22日上午7:00关闭。

密码管理器的阴暗面

安全从业人员经常推荐密码管理器，因为它们使人们可以轻松地存储数百个甚至数千个帐户独有的长而复杂的密码。 没有密码管理器，许多人会使用弱密码，这些密码会被多个帐户重复使用。

密码状态的破坏突显了密码管理器存在的危险，因为它们代表单点故障，可能导致大量资产在线渗透。 如果启用并启用了两因素身份验证，则风险会大大降低，因为仅提取的密码不足以获得未经授权的访问。 Click Studios说Passwordstate可用 多个2FA选项。

黑客尤其担心，因为Passwordstate主要卖给使用该管理器存储防火墙，VPN和其他企业应用程序密码的公司客户。 点击工作室 说 Passwordstate“在全球范围内，超过29,000个客户和370,000位IT安全和技术专业人员都信任Passwordstate，其安装基础已从最大的公司（包括许多财富500强公司）扩展到了最小的IT商店。”

供应链的另一次攻击

Passwordstate黑客是近几个月来最新的备受关注的供应链攻击。 在12月，对 SolarWinds网络管理软件 尾门安装在18,000个客户的网络上。 本月初，一个开发工具称为 Codecov Bash上传器 从受感染的设备中提取机密身份验证代码和其他敏感数据，并将它们发送到由黑客控制的远程站点。

第1阶段的有效负载已加载到VirusTotal 这里 和 这里 它表明，在发布此文章时，跟踪的68个端点保护程序中没有一个检测到恶意软件。 研究人员尚未能够获得后续有效载荷的样本。

使用Passwordstate的任何人都应该立即重置所有存储的密码，尤其是防火墙，VPN，密钥，本地帐户和服务器的密码。

Click Studios代表未回复要求对此帖子发表评论的电子邮件。