آلن پوپ، مدیر مهندسی و انجمن سابق در شرکت کانونیکال، متوجه موج جدیدی از حملات شده است که کاربران کاتالوگ اپلیکیشن اسنپ استور را هدف قرار میدهد. مهاجمان به جای ثبت حسابهای جدید، شروع به خرید دامنههای منقضی شدهای کردهاند که در آدرسهای ایمیل توسعهدهندگان ثبتشده اسنپ فهرست شدهاند. پس از خرید دامنه، مهاجمان ترافیک ایمیل را به سرور خود هدایت میکنند و با به دست گرفتن کنترل آدرس ایمیل، فرآیند بازیابی رمز عبور فراموششده را برای دسترسی به حساب آغاز میکنند.
با به دست گرفتن کنترل یک حساب کاربری موجود، مهاجمان میتوانند بهروزرسانیهای مخرب را در برنامههای قبلاً منتشر شده و مورد اعتماد اعمال کنند و از این طریق، بررسیهای پیشرفته اعمال شده بر روی کاربران جدید را دور بزنند و از اضافه شدن برچسبهای هشدار دهنده برای پروژههای جدید جلوگیری کنند. آلن پوپ حداقل دو دامنه (enstorewise.tech و vagueentertainment.com) را که توسط مهاجمان برای ربودن حسابها خریداری شدهاند، شناسایی کرده است، اما اعتقاد بر این است که موارد بسیار بیشتری از این دست وجود دارد.
در گذشته، مهاجمان خود را به ثبت حسابهای کاربری خود و انتشار بستههای مخربی که نسخههای رسمی نرمافزارهای محبوب را جعل میکردند یا از نامهای مشابه بستههای موجود استفاده میکردند (typosquatting)، محدود میکردند. در پاسخ، کانونیکال برای اولین بار تأیید دستی نام بستههای جدید ارسال شده در فروشگاه اسنپ را معرفی کرد. از آن زمان، توزیعکنندگان بدافزار عمدتاً بر انتشار بستههای اصلی، تبلیغ آنها در رسانههای اجتماعی و در نهایت انتشار یک بهروزرسانی مخرب که سعی در دور زدن بررسیها و فیلترهای خودکار فروشگاه اسنپ دارد، تمرکز کردهاند.
اکنون مسیر حمله به سمت خرید مجدد دامنههای منقضی شده تغییر کرده است، زیرا مخزن Snap Store بررسی مرتبط بودن دامنهها را انجام نداده است. نامهای دامنه، در آدرسهای ایمیل استفاده میشود. سال گذشته، مخزن PyPI (فهرست بستههای پایتون) با مشکل مشابهی مواجه شد و به طور خودکار آدرسهای ایمیل با دامنههای منقضی شده را به عنوان تأیید نشده علامتگذاری میکرد. بیش از ۱۸۰۰ آدرس ایمیل از این دست در PyPI مسدود شدند.
منبع: opennet.ru
