Alan Pope, bekas Pengurus Kejuruteraan dan Komuniti di Canonical, telah menyedari gelombang serangan baharu yang menyasarkan pengguna katalog aplikasi Snap Store. Daripada mendaftarkan akaun baharu, penyerang telah mula membeli domain yang telah tamat tempoh yang disenaraikan dalam alamat e-mel pembangun Snap yang berdaftar. Selepas membeli domain tersebut, penyerang akan mengalihkan trafik e-mel ke pelayan mereka dan, setelah mendapat kawalan ke atas alamat e-mel tersebut, memulakan proses pemulihan kata laluan yang terlupa untuk mengakses akaun tersebut.
Dengan mendapatkan kawalan ke atas akaun sedia ada, penyerang boleh menggunakan kemas kini berniat jahat pada aplikasi yang diterbitkan sebelum ini dan dipercayai, memintas semakan dipertingkat yang dikenakan pada pengguna baharu dan mengelakkan penambahan label amaran untuk projek baharu. Alan Pope telah mengenal pasti sekurang-kurangnya dua domain (enstorewise.tech dan vagueentertainment.com) yang dibeli oleh penyerang untuk merampas akaun, tetapi dipercayai terdapat lebih banyak kes sedemikian.
Pada masa lalu, penyerang mengehadkan diri mereka kepada pendaftaran akaun mereka sendiri dan menerbitkan pakej berniat jahat yang menyamar sebagai binaan rasmi perisian popular atau menggunakan nama yang serupa dengan pakej sedia ada (typosquatting). Sebagai tindak balas, Canonical memperkenalkan pengesahan manual nama pakej baharu yang disiarkan di Snap Store buat kali pertama. Sejak itu, pengedar perisian hasad telah memberi tumpuan terutamanya pada penyiaran pakej asal, mempromosikannya di media sosial dan akhirnya menerbitkan kemas kini berniat jahat yang cuba memintas semakan dan penapis automatik Snap Store.
Kini vektor serangan telah beralih ke arah pembelian semula domain yang telah tamat tempoh, kerana repositori Snap Store tidak melaksanakan pemeriksaan kerelevanan. nama domain, digunakan dalam alamat e-mel. Tahun lepas, repositori PyPI (Python Package Index) menghadapi masalah yang serupa, menandakan alamat e-mel dengan domain yang telah tamat tempoh secara automatik sebagai tidak disahkan. Lebih daripada 1800 alamat e-mel sedemikian telah disekat pada PyPI.
Sumber: opennet.ru
