Alan Pope, exgerente de Ingeniería y Comunidad de Canonical, ha detectado una nueva ola de ataques dirigidos a los usuarios del catálogo de aplicaciones de Snap Store. En lugar de registrar nuevas cuentas, los atacantes han empezado a comprar dominios caducados que figuran en las direcciones de correo electrónico de los desarrolladores de Snap registrados. Tras comprar el dominio, redirigen el tráfico de correo electrónico a su servidor y, tras obtener el control de la dirección, inician un proceso de recuperación de contraseña olvidada para acceder a la cuenta.
Al obtener el control de una cuenta existente, los atacantes pueden implementar actualizaciones maliciosas en aplicaciones de confianza previamente publicadas, evadiendo así las comprobaciones mejoradas aplicadas a los nuevos usuarios y evitando la adición de etiquetas de advertencia para nuevos proyectos. Alan Pope ha identificado al menos dos dominios (enstorewise.tech y vagueentertainment.com) adquiridos por atacantes para secuestrar cuentas, pero se cree que existen muchos más casos similares.
Anteriormente, los atacantes se limitaban a registrar sus propias cuentas y publicar paquetes maliciosos que suplantaban compilaciones oficiales de software popular o usaban nombres similares a los de paquetes existentes (typosquatting). En respuesta, Canonical introdujo por primera vez la verificación manual de los nombres de los nuevos paquetes publicados en la Snap Store. Desde entonces, los distribuidores de malware se han centrado principalmente en publicar paquetes originales, promocionarlos en redes sociales y, finalmente, publicar una actualización maliciosa que intenta eludir los controles y filtros automáticos de la Snap Store.
Ahora el vector de ataque se ha desplazado hacia la recompra de dominios vencidos, ya que el repositorio de Snap Store no implementó una verificación de relevancia. nombres de dominio, utilizado en direcciones de correo electrónico. El año pasado, el repositorio PyPI (Índice de Paquetes de Python) detectó un problema similar, marcando automáticamente las direcciones de correo electrónico con dominios caducados como no verificadas. Más de 1800 de estas direcciones fueron bloqueadas en PyPI.
Fuente: opennet.ru
