Alan Pope, antigo xestor de enxeñaría e comunidade en Canonical, decatouse dunha nova onda de ataques dirixidos aos usuarios do catálogo de aplicacións de Snap Store. En lugar de rexistrar novas contas, os atacantes comezaron a mercar dominios caducados que aparecen nos enderezos de correo electrónico dos desenvolvedores de Snap rexistrados. Despois de mercar o dominio, os atacantes redirixen o tráfico de correo electrónico ao seu servidor e, unha vez obtido o control do enderezo de correo electrónico, inician un proceso de recuperación de contrasinal esquecido para acceder á conta.
Ao obter o control dunha conta existente, os atacantes poden implementar actualizacións maliciosas en aplicacións de confianza publicadas previamente, omitindo as comprobacións melloradas que se aplican aos novos usuarios e evitando engadir etiquetas de aviso para novos proxectos. Alan Pope identificou polo menos dous dominios (enstorewise.tech e vagueentertainment.com) comprados por atacantes para secuestrar contas, pero crese que hai moitos máis casos deste tipo.
No pasado, os atacantes limitábanse a rexistrar as súas propias contas e publicar paquetes maliciosos que suplantaron versións oficiais de software popular ou usaban nomes similares aos paquetes existentes (typosquatting). En resposta, Canonical introduciu por primeira vez a verificación manual dos nomes dos novos paquetes publicados na Snap Store. Desde entón, os distribuidores de software malicioso centráronse principalmente en publicar paquetes orixinais, promocionalos nas redes sociais e, finalmente, en publicar unha actualización maliciosa que intenta eludir as comprobacións e os filtros automatizados da Snap Store.
Agora o vector de ataque cambiou cara á recompra de dominios caducados, xa que o repositorio de Snap Store non implementou unha comprobación de relevancia. nomes de dominio, usado en enderezos de correo electrónico. O ano pasado, o repositorio PyPI (Python Package Index) atopou un problema semellante, marcando automaticamente os enderezos de correo electrónico con dominios caducados como non verificados. Bloqueáronse máis de 1800 enderezos de correo electrónico deste tipo en PyPI.
Fonte: opennet.ru
