Alan Pope, bivši menadžer za inženjering i zajednicu u Canonicalu, primijetio je novi val napada usmjerenih na korisnike kataloga aplikacija Snap Store. Umjesto registracije novih računa, napadači su počeli kupovati istekle domene navedene u email adresama registrovanih Snap programera. Nakon kupovine domene, napadači preusmjeravaju email promet na svoj server i, nakon što su dobili kontrolu nad email adresom, pokreću proces oporavka zaboravljene lozinke za pristup računu.
Stjecanjem kontrole nad postojećim računom, napadači mogu instalirati zlonamjerna ažuriranja na prethodno objavljene, pouzdane aplikacije, zaobilazeći poboljšane provjere koje se primjenjuju na nove korisnike i izbjegavajući dodavanje upozorenja za nove projekte. Alan Pope je identificirao najmanje dvije domene (enstorewise.tech i vagueentertainment.com) koje su napadači kupili za preuzimanje računa, ali se vjeruje da postoji mnogo više takvih slučajeva.
U prošlosti su se napadači ograničavali na registraciju vlastitih računa i objavljivanje zlonamjernih paketa koji su imitirali službene verzije popularnog softvera ili koristili imena slična postojećim paketima (typosquatting). Kao odgovor na to, Canonical je uveo ručnu provjeru naziva novih paketa koji su prvi put objavljeni u Snap Storeu. Od tada se distributeri zlonamjernog softvera prvenstveno fokusiraju na objavljivanje originalnih paketa, njihovo promoviranje na društvenim mrežama i na kraju objavljivanje zlonamjernog ažuriranja koje pokušava zaobići automatske provjere i filtere Snap Storea.
Sada se vektor napada pomjerio prema ponovnoj kupovini isteklih domena, jer Snap Store repozitorij nije implementirao provjeru relevantnosti. imena domena, koji se koristi u email adresama. Prošle godine, PyPI (Python Package Index) repozitorij naišao je na sličan problem, automatski označavajući email adrese sa isteklim domenama kao neprovjerene. Više od 1800 takvih email adresa je blokirano na PyPI-ju.
izvor: opennet.ru
