Moserpassマルウェア

Moserpassは、infosecの研究者によって検出された、脅威となる新しいマルウェア株です。この脅威は、新しいサプライチェーン攻撃の一部として観察されました。操作を担当する攻撃者は、Passwordstateパスワードマネージャーのクライアントを標的にしました。 Passwordstateの開発者であるClickStudiosは、銀行、教育、製造、小売、航空宇宙、ヘルスケア、政府など、複数の業界セクターに29,000を超えるクライアントがいると述べています。

Moserpassマルウェアの機能

攻撃を通じて拡散した有害なペイロードは、これまで知られていなかったMoserpassマルウェアでした。脅威の主な機能は、侵害されたシステムから情報を収集することです。収集されたシステムデータには、コンピューター名、ユーザー名、現在のプロセスIDと名前、ドメイン名などが含まれます。さらに、Moserpass Malwareは、被害者のPasswordstateアカウントのいくつかのフィールド（ユーザー名、パスワード、タイトル、メモ、説明、URL、特定の「汎用フィールド」からのデータ。収集されたすべての情報は、脅威アクターの制御下にあるリモートサーバーに盗み出されます。 Click Studiosによると、そのデータを暗号化するオプションを有効にしたユーザーは、Moserpassマルウェアの活動から安全です。

Passwordstateサプライチェーン攻撃の特徴

成功した場合、サプライチェーン攻撃により、脅威の攻撃者は、各システムを個別に侵害することなく、大量のシステムに到達して感染することができます。代わりに、ハッカーはソフトウェア製品の開発者のネットワーク（この場合はPasswordstate）を侵害し、マルウェアを正規のアプリケーションに注入します。その結果、ユーザーがソフトウェアを更新するたびに、脅迫的なペイロードも受け取ることになります。

Passwordstate攻撃は、約28時間続いたと推定されています。その期間内に更新を開始したお客様は、Moserpassマルウェアに感染している可能性があります。ハッカーは、パスワードマネージャーのインプレースアップグレード機能をなんとか侵害しました。その後、Click StudiosのWebサイトに保存されているアップグレードディレクターに、開発者の正当なCDNではなくMoserpassマルウェアを運ぶ破損したコンテンツ配信ネットワーク（CDN）にユーザーを誘導することに成功しました。