Alan Pope, tidligere Engineering and Community Manager hos Canonical, har bemærket en ny bølge af angreb rettet mod brugere af Snap Store-appkataloget. I stedet for at registrere nye konti er angriberne begyndt at købe udløbne domæner, der er angivet i e-mailadresserne for registrerede Snap-udviklere. Efter at have købt domænet omdirigerer angriberne e-mailtrafik til deres server, og efter at have fået kontrol over e-mailadressen, starter de en glemt adgangskodegendannelsesproces for at få adgang til kontoen.
Ved at få kontrol over en eksisterende konto kan angribere installere ondsindede opdateringer til tidligere offentliggjorte, betroede apps, omgå de forbedrede kontroller, der anvendes på nye brugere, og undgå tilføjelse af advarselsetiketter til nye projekter. Alan Pope har identificeret mindst to domæner (enstorewise.tech og vagueentertainment.com), der er købt af angribere for at kapre konti, men det menes, at der er mange flere sådanne tilfælde.
Tidligere begrænsede angribere sig til at registrere deres egne konti og udgive ondsindede pakker, der efterlignede officielle versioner af populær software eller brugte navne, der lignede eksisterende pakker (typosquatting). Som svar introducerede Canonical for første gang manuel verifikation af nye pakkenavne, der blev lagt ud i Snap Store. Siden da har malware-distributører primært fokuseret på at offentliggøre originale pakker, promovere dem på sociale medier og i sidste ende udgive en ondsindet opdatering, der forsøger at omgå Snap Stores automatiske kontroller og filtre.
Nu er angrebsvektoren flyttet mod genkøb af udløbne domæner, da Snap Store-arkivet ikke implementerede en relevanskontrol. domænenavne, brugt i e-mailadresser. Sidste år stødte PyPI (Python Package Index)-arkivet på et lignende problem, hvor e-mailadresser med udløbne domæner automatisk blev markeret som ubekræftede. Mere end 1800 sådanne e-mailadresser blev blokeret på PyPI.
Kilde: opennet.ru
