Alan Pope, mantan Manajer Teknik dan Komunitas di Canonical, telah memperhatikan gelombang serangan baru yang menargetkan pengguna katalog aplikasi Snap Store. Alih-alih mendaftarkan akun baru, penyerang mulai membeli domain kedaluwarsa yang tercantum dalam alamat email pengembang Snap yang terdaftar. Setelah membeli domain tersebut, penyerang mengalihkan lalu lintas email ke server mereka dan, setelah menguasai alamat email, memulai proses pemulihan kata sandi yang terlupakan untuk mengakses akun tersebut.
Dengan menguasai akun yang sudah ada, penyerang dapat menyebarkan pembaruan berbahaya ke aplikasi tepercaya yang telah diterbitkan sebelumnya, melewati pemeriksaan yang lebih ketat yang diterapkan pada pengguna baru dan menghindari penambahan label peringatan untuk proyek baru. Alan Pope telah mengidentifikasi setidaknya dua domain (enstorewise.tech dan vagueentertainment.com) yang dibeli oleh penyerang untuk membajak akun, tetapi diyakini ada lebih banyak kasus serupa.
Di masa lalu, penyerang membatasi diri pada pendaftaran akun mereka sendiri dan menerbitkan paket berbahaya yang meniru versi resmi perangkat lunak populer atau menggunakan nama yang mirip dengan paket yang sudah ada (typosquatting). Sebagai tanggapan, Canonical memperkenalkan verifikasi manual untuk nama paket baru yang diposting ke Snap Store untuk pertama kalinya. Sejak itu, distributor malware terutama berfokus pada memposting paket asli, mempromosikannya di media sosial, dan akhirnya menerbitkan pembaruan berbahaya yang mencoba melewati pemeriksaan dan filter otomatis Snap Store.
Kini vektor serangan telah bergeser ke arah pembelian kembali domain yang telah kedaluwarsa, karena repositori Snap Store tidak menerapkan pengecekan relevansi. nama domain, digunakan dalam alamat email. Tahun lalu, repositori PyPI (Python Package Index) mengalami masalah serupa, secara otomatis menandai alamat email dengan domain yang kedaluwarsa sebagai tidak terverifikasi. Lebih dari 1800 alamat email tersebut diblokir di PyPI.
Sumber: opennet.ru
