Passwordstate warnt vor andauernden Phishing-Attacken nach Datenpanne

Cyber Security News

Click Studios, das australische Softwareunternehmen, das einen Angriff auf seine Passwortverwaltungsanwendung Passwordstate bestätigte, hat seine Kunden vor einem laufenden Phishing-Angriff durch einen unbekannten Bedrohungsakteur gewarnt.

“Wir wurden darauf hingewiesen, dass ein böser Akteur einen Phishing-Angriff gestartet hat, bei dem eine kleine Anzahl von Kunden E-Mails erhalten hat, in denen sie zu dringenden Maßnahmen aufgefordert werden”, sagte das Unternehmen in einem aktualisierten Hinweis, der am Mittwoch veröffentlicht wurde. “Diese E-Mails werden nicht von Click Studios gesendet.”

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Letzte Woche berichtete Click Studios, dass Angreifer ausgeklügelte Techniken eingesetzt haben, um den Update-Mechanismus von Passwordstate zu kompromittieren und ihn zu nutzen, um Malware auf Benutzer-Computern abzulegen. Nur Kunden, die zwischen dem 20. April, 20:33 PM UTC, und dem 22. April, 0:30 AM UTC, In-Place-Upgrades durchgeführt haben, sollen betroffen sein.

Obwohl Passwordstate etwa 29.000 Kunden betreut, behauptet das in Adelaide ansässige Unternehmen, dass die Gesamtzahl der betroffenen Kunden sehr gering ist. Passwordstate bittet seine Kunden, keine Korrespondenz mit dem Unternehmen in den sozialen Medien zu veröffentlichen, da der Täter hinter der Sicherheitslücke diese Plattformen aktiv nach Informationen über den Angriff durchsucht, um sie für weitere Angriffe zu nutzen.

Der ursprüngliche Angriff wurde über eine trojanisierte Passwordstate-Update-Datei durchgeführt, die eine modifizierte DLL (“moserware.secretsplitter.dll”) enthielt, die wiederum eine Nutzlast der zweiten Stufe von einem entfernten Server extrahierte, um sensible Informationen aus kompromittierten Systemen zu extrahieren. Als Gegenmaßnahme veröffentlichte Click Studios ein Hotfix-Paket mit dem Namen “Moserware.zip”, um Kunden bei der Entfernung der manipulierten DLL zu unterstützen, und riet betroffenen Benutzern, alle im Passwort-Manager gespeicherten Passwörter zurückzusetzen.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Bei dem neu entdeckten Phishing-Angriff werden scheinbar legitime E-Mail-Nachrichten erstellt, die den E-Mail-Inhalt von Click Studios replizieren” – basierend auf den E-Mails, die von Kunden in sozialen Medien geteilt wurden – um eine neue Variante der Malware zu verbreiten.

“Die Phishing-Attacke fordert Kunden auf, eine modifizierte Hotfix-Datei Moserware.zip von einem CDN-Netzwerk herunterzuladen, das nicht von Click Studios kontrolliert wird und das jetzt offenbar vom Netz genommen wurde”, so das Unternehmen. “Eine erste Analyse deutet darauf hin, dass diese eine neu modifizierte Version der fehlerhaften Moserware.SecretSplitter.dll enthält, die dann beim Laden versucht, eine alternative Site zu verwenden, um die Nutzlastdatei zu erhalten.”

Der Passwordstate-Hack ist der jüngste hochkarätige Supply-Chain-Angriff, der in den letzten Monaten bekannt wurde und zeigt, wie raffinierte Bedrohungsgruppen Software, die von Dritten entwickelt wurde, als Sprungbrett nutzen, um in sensible Computernetzwerke von Regierungen und Unternehmen einzudringen.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com