Alan Pope, bivši voditelj inženjeringa i zajednice u Canonicalu, primijetio je novi val napada usmjerenih na korisnike kataloga aplikacija Snap Storea. Umjesto registracije novih računa, napadači su počeli kupovati istekle domene navedene u e-mail adresama registriranih Snap programera. Nakon kupnje domene, napadači preusmjeravaju promet e-pošte na svoj poslužitelj i, nakon što su preuzeli kontrolu nad e-mail adresom, pokreću postupak oporavka zaboravljene lozinke za pristup računu.
Preuzimanjem kontrole nad postojećim računom, napadači mogu instalirati zlonamjerna ažuriranja na prethodno objavljene, pouzdane aplikacije, zaobilazeći poboljšane provjere koje se primjenjuju na nove korisnike i izbjegavajući dodavanje upozorenja za nove projekte. Alan Pope identificirao je najmanje dvije domene (enstorewise.tech i vagueentertainment.com) koje su napadači kupili za preuzimanje računa, ali vjeruje se da postoji mnogo više takvih slučajeva.
U prošlosti su se napadači ograničavali na registraciju vlastitih računa i objavljivanje zlonamjernih paketa koji su oponašali službene verzije popularnog softvera ili koristili imena slična postojećim paketima (typosquatting). Kao odgovor, Canonical je prvi put uveo ručnu provjeru naziva novih paketa objavljenih u Snap Storeu. Od tada su se distributeri zlonamjernog softvera prvenstveno usredotočili na objavljivanje originalnih paketa, njihovo promoviranje na društvenim mrežama i na kraju objavljivanje zlonamjernog ažuriranja koje pokušava zaobići automatizirane provjere i filtere Snap Storea.
Sada se vektor napada pomaknuo prema ponovnoj kupnji isteklih domena, budući da repozitorij Snap Storea nije implementirao provjeru relevantnosti. imena domena, koristi se u adresama e-pošte. Prošle godine, repozitorij PyPI (Python Package Index) naišao je na sličan problem, automatski označavajući adrese e-pošte s isteklim domenama kao neprovjerene. Više od 1800 takvih adresa e-pošte blokirano je na PyPI-ju.
Izvor: opennet.ru
