Canonicalの元エンジニアリング兼コミュニティマネージャーであるアラン・ポープ氏は、Snap Storeアプリカタログのユーザーを標的とした新たな攻撃の波に気づきました。攻撃者は新規アカウントを登録する代わりに、登録済みのSnap開発者のメールアドレスに登録されている期限切れのドメインを購入し始めています。ドメインを購入後、攻撃者はメールトラフィックを自身のサーバーにリダイレクトし、メールアドレスを掌握した後、アカウントにアクセスするためのパスワード再設定プロセスを開始します。
既存のアカウントを乗っ取ることで、攻撃者は既に公開済みの信頼できるアプリに悪意のあるアップデートを展開し、新規ユーザーに適用される強化されたチェックを回避し、新規プロジェクトに警告ラベルが追加されるのを回避できます。アラン・ポープ氏は、攻撃者がアカウントを乗っ取るために購入したドメイン(enstorewise.techとvagueentertainment.com)を少なくとも2つ特定していますが、このような事例は他にも多数存在すると考えられています。
これまで、攻撃者は自身のアカウントを登録し、人気ソフトウェアの公式ビルドを偽装したり、既存のパッケージに類似した名前(タイポスクワッティング)を使用した悪意のあるパッケージを公開するだけにとどまっていました。これに対し、CanonicalはSnap Storeに投稿される新しいパッケージ名に対して初めて手動検証を導入しました。それ以来、マルウェア配信者は主にオリジナルパッケージの投稿、ソーシャルメディアでの宣伝、そして最終的にはSnap Storeの自動チェックとフィルターを回避しようとする悪意のあるアップデートの公開に注力しています。
Snap Store リポジトリに関連性チェックが実装されていないため、攻撃ベクトルは期限切れのドメインの再購入に移行しています。 ドメイン名メールアドレスで使用されている「.」というドメインが使われています。昨年、PyPI(Python Package Index)リポジトリで同様の問題が発生し、期限切れのドメインを持つメールアドレスが自動的に未検証としてマークされてしまいました。PyPIでは、1800件以上のそのようなメールアドレスがブロックされました。
出所: オープンネット.ru
