Click Studios, la empresa de software australiana que confirmó un ataque a la cadena de suministro que afectó a su aplicación de administración de contraseñas Passwordstate, advirtió a los clientes sobre un ataque de phishing en curso por parte de un actor de amenazas desconocido.

«Nos han informado que un mal actor ha comenzado un ataque de phishing con un pequeño número de clientes que han recibido correos electrónicos que solicitan una acción urgente», dijo la compañía en un aviso actualizado publicado el miércoles. «Estos correos electrónicos no son enviados por Click Studios».

La semana pasada, Click Studios dijo que los atacantes habían empleado técnicas sofisticadas para comprometer el mecanismo de actualización de Passwordstate, usándolo para colocar malware en las computadoras de los usuarios. Solo los clientes que realizaron actualizaciones locales entre el 20 de abril a las 8:33 p. m. UTC y el 22 de abril a las 0:30 a. m. UTC se verán afectados.

Si bien Passwordstate atiende a unos 29.000 clientes, la empresa con sede en Adelaida sostuvo que el número total de clientes afectados es muy bajo. También insta a los usuarios a que se abstengan de publicar correspondencia de la compañía en las redes sociales, afirmando que el actor detrás de la violación está monitoreando activamente dichas plataformas en busca de información relacionada con el ataque para explotarlo en su beneficio para llevar a cabo intrusiones relacionadas.

El ataque original se llevó a cabo a través de un archivo de actualización de Passwordstate troyanizado que contenía una DLL modificada («moserware.secretsplitter.dll») que, a su vez, extrajo una carga útil de segunda etapa de un servidor remoto para extraer información confidencial de los sistemas comprometidos. . Como contramedida, Click Studios lanzó un paquete de revisiones llamado «Moserware.zip » para ayudar a los clientes a eliminar el DLL manipulado y aconsejó a los usuarios afectados que restablecieran todas las contraseñas almacenadas en el administrador de contraseñas.

El ataque de phishing recién detectado implica la creación de mensajes de correo electrónico aparentemente legítimos que «replican el contenido de correo electrónico de Click Studios», en función de los correos electrónicos compartidos por los clientes en las redes sociales, para impulsar una nueva variante del malware.

«El ataque de phishing solicita a los clientes que descarguen un archivo Moserware.zip de revisión modificado, desde una red CDN no controlada por Click Studios, que ahora parece haber sido eliminado», dijo la compañía. «El análisis inicial indica que tiene una versión modificada recientemente de Moserware.SecretSplitter.dll con formato incorrecto, que al cargarse intenta usar un sitio alternativo para obtener el archivo de carga útil».

El pirateo de Passwordstate es el último ataque de alto perfil a la cadena de suministro que ha salido a la luz en los últimos meses, lo que destaca cómo los grupos de amenazas sofisticados están apuntando al software creado por terceros como un trampolín para entrar en redes informáticas gubernamentales y corporativas sensibles.