Moserpass Malware

Moserpass er en truende ny malware-stamme, der er blevet opdaget af infosec-forskere. Truslen blev observeret som en del af et nyt angreb i forsyningskæden. Den trusselsaktør, der er ansvarlig for operationen, målrettede mod klienterne i Passwordstate-adgangskodeadministratoren. Click Studios, udvikleren af Passwordstate, erklærede, at de har over 29.000 kunder fordelt på flere brancher, såsom bank, uddannelse, fremstilling, detailhandel, luftfartsvæsen, sundhedspleje, regering og mere.

Moserpass Malware-kapaciteter

Den skadelige nyttelast spredt gennem angrebet var den tidligere ukendte Moserpass Malware. Den vigtigste funktionalitet i truslen er at indsamle oplysninger fra kompromitterede systemer. De høstede systemdata inkluderer computernavn, brugernavn, aktuelt proces-id og navn, domænenavn osv. Desuden henter Moserpass Malware data fra flere felter på offerets Passwordstate-konto - brugernavn, adgangskode, titel, noter, beskrivelse, URL og data fra specifikke 'generiske felter'. Alle indsamlede oplysninger exfiltreres derefter til eksterne servere under kontrol af trusselsaktøren. Ifølge Click Studios er brugere, der har aktiveret muligheden for at kryptere disse data, sikre fra aktiviteterne fra Moserpass-malware.

Passwordstate-forsyningskædeanfaldskarakteristika

Hvis det lykkes, giver angreb på forsyningskæden trusselsaktører mulighed for at nå og inficere en betydelig mængde systemer uden at skulle bryde hver enkelt individuelt. I stedet kompromitterer hackerne netværkene fra udvikleren af et softwareprodukt - Passwordstate i dette tilfælde og injicerer derefter deres malware i den legitime applikation. Som et resultat, når brugerne opdaterer softwaren, modtager de også den truende nyttelast.

Passwordstate-anfaldet anslås at have varet i cirka 28 timer. Enhver kunde, der startede en opdatering inden for denne tidsramme, er potentielt blevet inficeret af Moserpass-malware. Hackerne formåede at kompromittere Opgradering-funktionaliteten i adgangskodeadministratoren. Derefter lykkedes det dem at tvinge opgraderingsdirektøren, der var gemt på Click Studios 'websted, til at føre brugerne til et beskadiget Content Distribution Network (CDN), der bar Moserpass-malware i stedet for den legitime CDN for udvikleren.