Moserpass Malware

Moserpass to nowy, groźny szczep złośliwego oprogramowania, który został wykryty przez badaczy infosec. Zagrożenie zostało zaobserwowane w ramach nowego ataku na łańcuch dostaw. Aktor zagrożenia odpowiedzialny za operację wymierzył w klientów menedżera haseł Passwordstate. Click Studios, twórca Passwordstate, oświadczył, że ma ponad 29 000 klientów z różnych sektorów przemysłu, takich jak bankowość, edukacja, produkcja, handel detaliczny, lotnictwo, opieka zdrowotna, administracja i inne.

Możliwości Moserpass Malware

Szkodliwym ładunkiem rozprzestrzenionym w wyniku ataku było wcześniej nieznane złośliwe oprogramowanie Moserpass. Główną funkcjonalnością zagrożenia jest zbieranie informacji z zainfekowanych systemów. Zebrane dane systemowe obejmują nazwę komputera, nazwę użytkownika, bieżący identyfikator i nazwę procesu, nazwę domeny itp. Ponadto, Moserpass Malware uzyskuje dane z kilku pól na koncie Passwordstate ofiary - nazwa użytkownika, hasło, tytuł, notatki, opis, adres URL i dane z określonych „pól ogólnych”. Wszystkie zebrane informacje są następnie eksfiltrowane na zdalne serwery pod kontrolą podmiotu będącego zagrożeniem. Według Click Studios użytkownicy, którzy włączyli opcję szyfrowania tych danych, są bezpieczni przed działaniami złośliwego oprogramowania Moserpass.

Charakterystyka ataku w łańcuchu dostaw

Jeśli się powiedzie, ataki na łańcuch dostaw pozwolą podmiotom będącym zagrożeniem na dotarcie do znacznej liczby systemów i zainfekowanie ich bez konieczności naruszania każdego z nich z osobna. Zamiast tego hakerzy włamują się do sieci twórców oprogramowania - w tym przypadku Passwordstate, a następnie wstrzykują swoje złośliwe oprogramowanie do legalnej aplikacji. W rezultacie za każdym razem, gdy użytkownicy aktualizują oprogramowanie, otrzymywaliby również groźny ładunek.

Szacuje się, że atak Passwordstate trwał około 28 godzin. Każdy klient, który zainicjował aktualizację w tym czasie, został potencjalnie zainfekowany złośliwym oprogramowaniem Moserpass. Hakerom udało się złamać funkcjonalność aktualizacji na miejscu menedżera haseł. Następnie udało im się zmusić dyrektora aktualizacji przechowywanego na stronie Click Studios, aby przenosił użytkowników do uszkodzonej sieci dystrybucji treści (CDN), która zawierała złośliwe oprogramowanie Moserpass zamiast do legalnej sieci CDN dewelopera.