Alan Pope, ex Engineering e Community Manager di Canonical, ha notato una nuova ondata di attacchi mirati agli utenti del catalogo delle app di Snap Store. Invece di registrare nuovi account, gli aggressori hanno iniziato ad acquistare domini scaduti elencati negli indirizzi email degli sviluppatori Snap registrati. Dopo aver acquistato il dominio, gli aggressori reindirizzano il traffico email al proprio server e, una volta ottenuto il controllo dell'indirizzo email, avviano una procedura di recupero della password dimenticata per accedere all'account.
Ottenendo il controllo di un account esistente, gli aggressori possono distribuire aggiornamenti dannosi ad app attendibili e pubblicate in precedenza, aggirando i controlli avanzati applicati ai nuovi utenti ed evitando l'aggiunta di etichette di avviso per i nuovi progetti. Alan Pope ha identificato almeno due domini (enstorewise.tech e vagueentertainment.com) acquistati dagli aggressori per dirottare gli account, ma si ritiene che i casi simili siano molti di più.
In passato, gli aggressori si limitavano a registrare i propri account e a pubblicare pacchetti dannosi che imitavano build ufficiali di software popolari o utilizzavano nomi simili a pacchetti esistenti (typosquatting). In risposta, Canonical ha introdotto per la prima volta la verifica manuale dei nuovi nomi dei pacchetti pubblicati sullo Snap Store. Da allora, i distributori di malware si sono concentrati principalmente sulla pubblicazione di pacchetti originali, sulla loro promozione sui social media e, infine, sulla pubblicazione di un aggiornamento dannoso che tenta di aggirare i controlli e i filtri automatici dello Snap Store.
Ora il vettore di attacco si è spostato verso il riacquisto di domini scaduti, poiché il repository Snap Store non ha implementato un controllo di pertinenza. nomi di dominio, utilizzato negli indirizzi email. L'anno scorso, il repository PyPI (Python Package Index) ha riscontrato un problema simile, contrassegnando automaticamente gli indirizzi email con domini scaduti come non verificati. Più di 1800 di questi indirizzi email sono stati bloccati su PyPI.
Fonte: opennet.ru
