PasswordState警告数据泄露后正在进行的网络钓鱼攻击

澳大利亚软件公司 Click Studios 确认了影响其 Passwordstate 密码管理应用程序的供应链攻击,已警告客户注意未知威胁者正在进行的网络钓鱼攻击。

该公司在周三发布的最新公告中表示: “我们被告知,一个不法分子已经开始了网络钓鱼攻击,少数客户收到了要求采取紧急行动的电子邮件。” “这些电子邮件不是由 Click Studios 发送的。”

上周,Click Studios 表示,攻击者采用复杂的技术来破坏 Passwordstate 的更新机制,使用它在用户计算机上投放恶意软件。据说只有在 UTC 时间 4 月 20 日晚上 8:33 和 UTC 时间 4 月 22 日上午 0:30 之间执行就地升级的客户才会受到影响。

虽然 Passwordstate 为大约 29,000 名客户提供服务,但这家总部位于阿德莱德的公司坚持认为受影响的客户总数非常低。它还敦促用户不要在社交媒体上发布该公司的信件,称违规行为背后的参与者正在积极监控此类平台以获取与攻击有关的信息,以便利用这些信息进行相关入侵。

最初的攻击是通过一个包含修改过的 DLL(“moserware.secretsplitter.dll”)的木马化 Passwordstate 更新文件进行的,该文件反过来从远程服务器提取检索到的第二阶段有效载荷,以便从受感染系统中提取敏感信息. 作为对策,Click Studios 发布了一个名为“Moserware.zip”的修补程序包,以帮助客户删除被篡改的 DLL,并建议受影响的用户重置密码管理器中存储的所有密码。

新发现的网络钓鱼攻击涉及制作看似合法的电子邮件消息,“复制 Click Studios 电子邮件内容”——基于客户在社交媒体上共享的电子邮件——以推送恶意软件的新变种。

“网络钓鱼攻击要求客户从不受 Click Studios 控制的 CDN 网络下载修改后的修补程序 Moserware.zip 文件,该文件现在似乎已被删除,”该公司表示。“初步分析表明,这有一个新修改的畸形 Moserware.SecretSplitter.dll 版本,在加载时会尝试使用备用站点来获取有效负载文件。”

Passwordstate 黑客攻击是最近几个月曝光的最新一起备受瞩目的供应链攻击,突显了复杂的威胁组织如何将第三方构建的软件作为攻击敏感的政府和企业计算机网络的垫脚石。