Alans Poups, bijušais Canonical inženierijas un kopienas vadītājs, ir pamanījis jaunu uzbrukumu vilni, kas vērsts pret Snap Store lietotņu kataloga lietotājiem. Tā vietā, lai reģistrētu jaunus kontus, uzbrucēji ir sākuši pirkt domēnus, kuru derīguma termiņš ir beidzies, un tie norādīti reģistrēto Snap izstrādātāju e-pasta adresēs. Pēc domēna iegādes uzbrucēji novirza e-pasta trafiku uz savu serveri un, ieguvuši kontroli pār e-pasta adresi, uzsāk aizmirstās paroles atgūšanas procesu, lai piekļūtu kontam.
Iegūstot kontroli pār esošu kontu, uzbrucēji var izvietot ļaunprātīgus atjauninājumus iepriekš publicētām, uzticamām lietotnēm, apejot uzlabotās pārbaudes, kas tiek piemērotas jauniem lietotājiem, un izvairoties no brīdinājuma uzlīmju pievienošanas jauniem projektiem. Alans Poups ir identificējis vismaz divus domēnus (enstorewise.tech un vagueentertainment.com), ko uzbrucēji iegādājušies, lai nolaupītu kontus, taču tiek uzskatīts, ka šādu gadījumu ir daudz vairāk.
Agrāk uzbrucēji aprobežojās ar savu kontu reģistrēšanu un ļaunprātīgu pakotņu publicēšanu, kas atdarināja oficiālas populāras programmatūras versijas vai izmantoja nosaukumus, kas līdzīgi esošo pakotņu nosaukumiem (typosquatting). Reaģējot uz to, Canonical pirmo reizi ieviesa manuālu jauno pakotņu nosaukumu pārbaudi, kas ievietoti Snap Store. Kopš tā laika ļaunprogrammatūras izplatītāji galvenokārt ir koncentrējušies uz oriģinālu pakotņu publicēšanu, to reklamēšanu sociālajos tīklos un galu galā ļaunprātīga atjauninājuma publicēšanu, kas mēģina apiet Snap Store automatizētās pārbaudes un filtrus.
Tagad uzbrukuma vektors ir novirzījies uz domēnu, kuru derīguma termiņš ir beidzies, atpirkšanu, jo Snap Store repozitorijs neieviesa atbilstības pārbaudi. domēna vārdi, ko izmanto e-pasta adresēs. Pagājušajā gadā PyPI (Python Package Index) repozitorijs saskārās ar līdzīgu problēmu, automātiski atzīmējot e-pasta adreses ar beigušiem domēniem kā neverificētas. PyPI tika bloķētas vairāk nekā 1800 šādu e-pasta adrešu.
Avots: opennet.ru
