Алан Поуп, поранешен менаџер за инженерство и заедница во Canonical, забележал нов бран напади насочени кон корисниците на каталогот на апликации на Snap Store. Наместо да регистрираат нови сметки, напаѓачите почнале да купуваат истечени домени наведени во е-адресите на регистрираните програмери на Snap. По купувањето на доменот, напаѓачите го пренасочуваат е-мејл сообраќајот кон нивниот сервер и, откако ќе ја добијат контролата врз е-мејл адресата, започнуваат процес на враќање на заборавена лозинка за пристап до сметката.
Со стекнување контрола врз постоечка сметка, напаѓачите можат да распоредат злонамерни ажурирања на претходно објавени, доверливи апликации, заобиколувајќи ги подобрените проверки што се применуваат на новите корисници и избегнувајќи додавање на етикети за предупредување за нови проекти. Алан Поуп идентификувал најмалку два домени (enstorewise.tech и vagueentertainment.com) купени од напаѓачи за да ги киднапираат сметките, но се верува дека има уште многу вакви случаи.
Во минатото, напаѓачите се ограничуваа на регистрирање на сопствени сметки и објавување на злонамерни пакети кои лажно се претставуваа како официјални верзии на популарен софтвер или користеа имиња слични на постојните пакети (typosquatting). Како одговор, Canonical воведе рачна верификација на новите имиња на пакети објавени во Snap Store за прв пат. Оттогаш, дистрибутерите на малициозен софтвер се фокусираа првенствено на објавување на оригинални пакети, нивно промовирање на социјалните медиуми и на крајот објавување на злонамерно ажурирање кое се обидува да ги заобиколи автоматските проверки и филтри на Snap Store.
Сега векторот на напад се префрли кон повторно купување на истечени домени, бидејќи складиштето Snap Store не имплементираше проверка на релевантност. имиња на домени, што се користи во е-адреси. Минатата година, складиштето PyPI (Python Package Index) се соочи со сличен проблем, автоматски означувајќи ги е-адресите со истечени домени како непроверени. Повеќе од 1800 такви е-адреси беа блокирани на PyPI.
Извор: opennet.ru
