Alan Pope, ehemaliger Engineering- und Community-Manager bei Canonical, hat eine neue Angriffswelle auf Nutzer des Snap Store-App-Katalogs beobachtet. Anstatt neue Konten zu registrieren, kaufen Angreifer nun abgelaufene Domains, die auf die E-Mail-Adressen registrierter Snap-Entwickler verweisen. Nach dem Kauf der Domain leiten sie den E-Mail-Verkehr auf ihren Server um und initiieren, nachdem sie die Kontrolle über die E-Mail-Adresse erlangt haben, einen Prozess zur Wiederherstellung des vergessenen Passworts, um auf das Konto zuzugreifen.
Durch die Übernahme eines bestehenden Kontos können Angreifer schädliche Updates für zuvor veröffentlichte, vertrauenswürdige Apps einspielen. Dadurch umgehen sie die verstärkten Sicherheitsprüfungen für neue Nutzer und vermeiden Warnhinweise für neue Projekte. Alan Pope hat mindestens zwei Domains (enstorewise.tech und vagueentertainment.com) identifiziert, die von Angreifern zur Kontoübernahme erworben wurden. Es wird jedoch vermutet, dass es weitaus mehr solcher Fälle gibt.
In der Vergangenheit beschränkten sich Angreifer darauf, eigene Konten zu registrieren und Schadsoftwarepakete zu veröffentlichen, die offizielle Versionen gängiger Software imitierten oder ähnliche Namen wie bestehende Pakete verwendeten (Typosquatting). Daraufhin führte Canonical erstmals eine manuelle Überprüfung neuer Paketnamen im Snap Store ein. Seitdem konzentrieren sich Malware-Verbreiter hauptsächlich darauf, eigene Pakete zu veröffentlichen, diese in sozialen Medien zu bewerben und schließlich ein schädliches Update zu veröffentlichen, das versucht, die automatisierten Prüfungen und Filter des Snap Stores zu umgehen.
Nun hat sich der Angriffsvektor hin zum Wiederkauf abgelaufener Domains verlagert, da das Snap Store-Repository keine Relevanzprüfung implementiert hat. DomainnamenDiese Domains werden in E-Mail-Adressen verwendet. Letztes Jahr stieß das PyPI-Repository (Python Package Index) auf ein ähnliches Problem und kennzeichnete E-Mail-Adressen mit abgelaufenen Domains automatisch als nicht verifiziert. Mehr als 1800 solcher E-Mail-Adressen wurden auf PyPI gesperrt.
Source: opennet.ru
