في رسالة بريد إلكتروني ، أبلغت Click Studios منشئ مدير كلمات المرور Passwordstate العملاء أن الجهات الخبيثة قامت بخرق آلية الترقية الخاصة بها واستخدمتها لتثبيت ملف ضار على أجهزة الكمبيوتر الخاصة بالمستخدمين. يحتوي الملف ، المسمى “moserware.secretsplitter.dll” ، على نسخة شرعية من تطبيق يسمى SecretSplitter ، بالإضافة إلى رمز ضار باسم “Loader” .
ذكرت ClickStudios حدوث خرق بين 20 أبريل 2021 الساعة 20:33 بالتوقيت العالمي المنسق و 22 أبريل 2021 الساعة 00:30 بالتوقيت العالمي المنسق. تم استخدام آلية التحديث لإسقاط تحديث ضار عبر ملف مضغوط “Passwordstate_upgrade.zip” يحتوي على DLL غير مصرح به “moserware.secretsplitter.dll”. تذكر الشركة أن C & C لمكتبة الارتباط الديناميكي (DLL) غير المصرح بها كانت تستخدم CDN (شبكة توصيل المحتوى) التي تم إنهاؤها في 22 أبريل 2021 الساعة 7:00 بالتوقيت العالمي المنسق.
اكتشف باحثو CSRS Security Group أحد مكتبات DLL غير المصرح بها أثناء التحقيق. وتعهدت بمشاركة IoCs التي تم اكتشافه حتى تتمكن الشركات من تحديد ما إذا كانت قد تأثرت بهذا الهجوم.
وتعتقد ClickStudios أن هذا الهجوم قد يكون قد أثر على حوالي 29000 عميل. ووفقًا لتوصية ClickStudios ، إذا كنت تستخدم Passwordstate ، فالرجاء إعادة تعيين جميع كلمات المرور المخزنة ، خاصة شبكات VPN وجدران الحماية والمفاتيح والحسابات المحلية أو أي كلمات مرور للخادم وما إلى ذلك.
من الواضح أن كود المُحمل يحاول استرداد أرشيف الملف على https: //passwordstate-18ed2.kxcdn [.] Com / Upgrade_service_upgrade.zip لكي تتمكن من استرداد حمولة مشفرة كخطوة ثانية. بمجرد فك التشفير ، يتم تنفيذ الرمز مباشرة في الذاكرة. ذكرت رسالة البريد الإلكتروني الخاصة بـ Click Studios أن الكود “يستخرج المعلومات من نظام الكمبيوتر ويختار بيانات Passwordstate ، والتي يتم نشرها بعد ذلك إلى شبكات CDN الخاصة بالممثلين السيئين.”
يوصي متخصصو الأمن بانتظام بمديري كلمات المرور لأنهم يسمحون للمستخدمين بتخزين كلمات مرور طويلة ومعقدة بسهولة وفريدة من نوعها لمئات أو حتى آلاف الحسابات. بدون استخدام مدير كلمات المرور ، يلجأ العديد من الأشخاص إلى كلمات مرور ضعيفة يُعاد استخدامها لحسابات متعددة.
لكن تسوية Passwordstate تؤكد الخطر الذي يمثله مديرو كلمات المرور ، حيث أنهم يمثلون نقطة فشل واحدة يمكن أن تؤدي إلى اختراق أعداد كبيرة من الأصول عبر الإنترنت. يتم تقليل المخاطر بشكل كبير عند توفر المصادقة الثنائية وتمكينها ، لأن كلمات المرور المستخرجة وحدها لا تكفي للحصول على وصول غير مصرح به. تنص Click Studios على أن Passwordstate توفر العديد من خيارات 2FA.
يعد الاختراق مصدر قلق خاص ، حيث يتم بيع Passwordstate بشكل أساسي للشركات التي تستخدم المدير لتخزين كلمات المرور لجدران الحماية وشبكات VPN وتطبيقات الشركات الأخرى. تقول Click Studios إن Passwordstate “موثوق بها من قبل أكثر من 29000 عميل و 370.000 متخصص في الأمن وتكنولوجيا المعلومات حول العالم ، مع قاعدة تثبيت تمتد من أكبر الشركات ، بما في ذلك العديد من الشركات. Fortune 500 ، إلى أصغر ورش عمل الكمبيوتر. ”
في ديسمبر كذلك، قام تحديث ضار لبرنامج إدارة شبكة SolarWinds بتثبيت باب خلفي على شبكات 18000 عميل. في وقت سابق من هذا الشهر ، استخرجت أداة تطوير محدثة تسمى Codecov Bash Uploader رموز المصادقة السرية والبيانات الحساسة الأخرى من الأجهزة المصابة وأرسلتها إلى موقع بعيد يتحكم فيه المتسللون.