Alan Pope, exdirector d'enginyeria i comunitat a Canonical, ha detectat una nova onada d'atacs dirigits als usuaris del catàleg d'aplicacions de Snap Store. En lloc de registrar comptes nous, els atacants han començat a comprar dominis caducats que figuren a les adreces de correu electrònic dels desenvolupadors de Snap registrats. Després de comprar el domini, els atacants redirigeixen el trànsit de correu electrònic al seu servidor i, havent obtingut el control de l'adreça de correu electrònic, inicien un procés de recuperació de contrasenya oblidada per accedir al compte.
En obtenir el control d'un compte existent, els atacants poden implementar actualitzacions malicioses a aplicacions de confiança publicades prèviament, evitant les comprovacions millorades que s'apliquen als nous usuaris i evitant afegir etiquetes d'advertència per a nous projectes. Alan Pope ha identificat almenys dos dominis (enstorewise.tech i vagueentertainment.com) comprats per atacants per segrestar comptes, però es creu que hi ha molts més casos similars.
En el passat, els atacants es limitaven a registrar els seus propis comptes i publicar paquets maliciosos que suplantaven versions oficials de programari popular o utilitzaven noms similars als paquets existents (typosquatting). En resposta, Canonical va introduir per primera vegada la verificació manual dels noms de paquets nous publicats a la Snap Store. Des de llavors, els distribuïdors de programari maliciós s'han centrat principalment en publicar paquets originals, promocionar-los a les xarxes socials i, finalment, publicar una actualització maliciosa que intenta eludir les comprovacions i els filtres automatitzats de la Snap Store.
Ara el vector d'atac s'ha desplaçat cap a la recompra de dominis caducats, ja que el repositori de Snap Store no va implementar una comprovació de rellevància. noms de domini, utilitzat en adreces de correu electrònic. L'any passat, el repositori PyPI (Python Package Index) va trobar un problema similar, marcant automàticament les adreces de correu electrònic amb dominis caducats com a no verificades. Més de 1800 adreces de correu electrònic d'aquest tipus van ser bloquejades a PyPI.
Font: opennet.ru
