Ο Alan Pope, πρώην Διευθυντής Μηχανικών και Κοινότητας στην Canonical, παρατήρησε ένα νέο κύμα επιθέσεων που στοχεύουν χρήστες του καταλόγου εφαρμογών Snap Store. Αντί να καταχωρούν νέους λογαριασμούς, οι εισβολείς έχουν αρχίσει να αγοράζουν ληγμένα domains που αναφέρονται στις διευθύνσεις email των εγγεγραμμένων προγραμματιστών Snap. Μετά την αγορά του domain, οι εισβολείς ανακατευθύνουν την κίνηση email στον διακομιστή τους και, έχοντας αποκτήσει τον έλεγχο της διεύθυνσης email, ξεκινούν μια διαδικασία ανάκτησης ξεχασμένου κωδικού πρόσβασης για να αποκτήσουν πρόσβαση στον λογαριασμό.
Αποκτώντας τον έλεγχο ενός υπάρχοντος λογαριασμού, οι εισβολείς μπορούν να αναπτύξουν κακόβουλες ενημερώσεις σε προηγουμένως δημοσιευμένες, αξιόπιστες εφαρμογές, παρακάμπτοντας τους ενισχυμένους ελέγχους που εφαρμόζονται σε νέους χρήστες και αποφεύγοντας την προσθήκη ετικετών προειδοποίησης για νέα έργα. Ο Alan Pope έχει εντοπίσει τουλάχιστον δύο τομείς (enstorewise.tech και vagueentertainment.com) που αγοράστηκαν από εισβολείς για να παραβιάσουν λογαριασμούς, αλλά πιστεύεται ότι υπάρχουν πολύ περισσότερες τέτοιες περιπτώσεις.
Στο παρελθόν, οι εισβολείς περιορίζονταν στην εγγραφή των δικών τους λογαριασμών και στη δημοσίευση κακόβουλων πακέτων που μιμούνταν επίσημες εκδόσεις δημοφιλούς λογισμικού ή χρησιμοποιούσαν ονόματα παρόμοια με υπάρχοντα πακέτα (typosquatting). Σε απάντηση, η Canonical εισήγαγε για πρώτη φορά τη χειροκίνητη επαλήθευση των νέων ονομάτων πακέτων που δημοσιεύονταν στο Snap Store. Έκτοτε, οι διανομείς κακόβουλου λογισμικού έχουν επικεντρωθεί κυρίως στην ανάρτηση πρωτότυπων πακέτων, στην προώθησή τους στα μέσα κοινωνικής δικτύωσης και τελικά στη δημοσίευση μιας κακόβουλης ενημέρωσης που επιχειρεί να παρακάμψει τους αυτοματοποιημένους ελέγχους και φίλτρα του Snap Store.
Τώρα, ο φορέας της επίθεσης έχει μετατοπιστεί προς την επαναγορά ληγμένων domain, καθώς το αποθετήριο Snap Store δεν εφάρμοσε έλεγχο συνάφειας. ονόματα τομέα, που χρησιμοποιείται σε διευθύνσεις email. Πέρυσι, το αποθετήριο PyPI (Python Package Index) αντιμετώπισε ένα παρόμοιο πρόβλημα, επισημαίνοντας αυτόματα διευθύνσεις email με ληγμένα domain ως μη επαληθευμένες. Περισσότερες από 1800 τέτοιες διευθύνσεις email αποκλείστηκαν στο PyPI.
Πηγή: opennet.ru
