Logiciel malveillant Moserpass

Moserpass est une nouvelle souche de malware menaçante qui a été détectée par les chercheurs d'Infosec. La menace a été observée dans le cadre d'une nouvelle attaque de la chaîne d'approvisionnement. L'acteur de menace responsable de l'opération ciblait les clients du gestionnaire de mots de passe Passwordstate. Click Studios, le développeur de Passwordstate, a déclaré avoir plus de 29 000 clients répartis dans plusieurs secteurs industriels, tels que la banque, l'éducation, la fabrication, la vente au détail, l'aérospatiale, la santé, le gouvernement et plus encore.

Capacités des logiciels malveillants Moserpass

La charge utile nuisible propagée par l'attaque était le logiciel malveillant Moserpass auparavant inconnu. La principale fonctionnalité de la menace est de collecter des informations sur les systèmes compromis. Les données système récoltées comprennent le nom de l'ordinateur, le nom d'utilisateur, l'ID et le nom du processus actuel, le nom de domaine, etc. données provenant de «champs génériques» spécifiques. Toutes les informations collectées sont ensuite exfiltrées vers des serveurs distants sous le contrôle de l'acteur menaçant. Selon Click Studios, les utilisateurs qui ont activé l'option de chiffrement de ces données sont à l'abri des activités du malware Moserpass.

Caractéristiques d'attaque de la chaîne d'approvisionnement Passwordstate

En cas de succès, les attaques de la chaîne d'approvisionnement permettent aux acteurs de la menace d'atteindre et d'infecter un nombre important de systèmes sans avoir à les enfreindre individuellement. Au lieu de cela, les pirates informatiques compromettent les réseaux du développeur d'un produit logiciel - Passwordstate dans ce cas, puis injectent leur malware dans l'application légitime. En conséquence, chaque fois que les utilisateurs mettent à jour le logiciel, ils recevront également la charge utile menaçante.

On estime que l'attaque Passwordstate a duré environ 28 heures. Tout client qui a lancé une mise à jour dans ce laps de temps a potentiellement été infecté par le logiciel malveillant Moserpass. Les pirates ont réussi à compromettre la fonctionnalité de mise à niveau sur place du gestionnaire de mots de passe. Par la suite, ils ont réussi à forcer le directeur de mise à niveau stocké sur le site Web de Click Studios à emmener les utilisateurs vers un réseau de distribution de contenu (CDN) corrompu qui portait le malware Moserpass au lieu du CDN légitime du développeur.