Alan Pope, bývalý manažer pro inženýrství a komunitu ve společnosti Canonical, zaznamenal novou vlnu útoků zaměřených na uživatele katalogu aplikací Snap Store. Místo registrace nových účtů začali útočníci kupovat domény s vypršenou platností uvedené v e-mailových adresách registrovaných vývojářů Snapu. Po zakoupení domény útočníci přesměrují e-mailový provoz na svůj server a po získání kontroly nad e-mailovou adresou spustí proces obnovení zapomenutého hesla pro přístup k účtu.
Získáním kontroly nad existujícím účtem mohou útočníci nasadit škodlivé aktualizace do dříve publikovaných, důvěryhodných aplikací, čímž obcházejí rozšířené kontroly uplatňované na nové uživatele a vyhnou se přidávání varovných štítků k novým projektům. Alan Pope identifikoval nejméně dvě domény (enstorewise.tech a vagueentertainment.com), které útočníci zakoupili za účelem únosu účtů, ale předpokládá se, že takových případů je mnohem více.
V minulosti se útočníci omezovali na registraci vlastních účtů a publikování škodlivých balíčků, které se vydávaly za oficiální sestavení populárního softwaru nebo používaly názvy podobné existujícím balíčkům (typosquatting). V reakci na to společnost Canonical poprvé zavedla ruční ověřování názvů nových balíčků zveřejněných v obchodě Snap Store. Od té doby se distributoři malwaru zaměřují především na zveřejňování originálních balíčků, jejich propagaci na sociálních sítích a nakonec na publikování škodlivé aktualizace, která se pokouší obejít automatické kontroly a filtry obchodu Snap Store.
Vektor útoku se nyní přesunul směrem k opětovnému nákupu expirovaných domén, protože repozitář Snap Store neimplementoval kontrolu relevance. doménová jména, používaný v e-mailových adresách. V loňském roce se repozitář PyPI (Python Package Index) setkal s podobným problémem, kdy automaticky označoval e-mailové adresy s vypršenými doménami jako neověřené. Na PyPI bylo zablokováno více než 1 800 takových e-mailových adres.
Zdroj: opennet.ru
