Alan Pope, voormalig Engineering and Community Manager bij Canonical, heeft een nieuwe golf van aanvallen opgemerkt die gericht zijn op gebruikers van de Snap Store-appcatalogus. In plaats van nieuwe accounts te registreren, kopen aanvallers nu verlopen domeinen die gekoppeld zijn aan de e-mailadressen van geregistreerde Snap-ontwikkelaars. Na de aankoop van het domein leiden de aanvallers het e-mailverkeer om naar hun server en, zodra ze de controle over het e-mailadres hebben verkregen, starten ze een procedure voor het herstellen van een vergeten wachtwoord om toegang tot het account te krijgen.
Door de controle over een bestaand account te verkrijgen, kunnen aanvallers kwaadaardige updates uitrollen naar eerder gepubliceerde, vertrouwde apps. Hierdoor worden de strengere controles voor nieuwe gebruikers omzeild en worden er geen waarschuwingslabels toegevoegd aan nieuwe projecten. Alan Pope heeft ten minste twee domeinen (enstorewise.tech en vagueentertainment.com) geïdentificeerd die door aanvallers zijn gekocht om accounts te kapen, maar men vermoedt dat er veel meer van dit soort gevallen zijn.
In het verleden beperkten aanvallers zich tot het registreren van hun eigen accounts en het publiceren van kwaadaardige pakketten die zich voordeden als officiële versies van populaire software of namen gebruikten die leken op bestaande pakketten (typosquatting). Als reactie hierop introduceerde Canonical voor het eerst handmatige verificatie van nieuwe pakketnamen die in de Snap Store werden geplaatst. Sindsdien richten malwareverspreiders zich voornamelijk op het plaatsen van originele pakketten, het promoten ervan op sociale media en uiteindelijk het publiceren van een kwaadaardige update die probeert de geautomatiseerde controles en filters van de Snap Store te omzeilen.
De aanvalsvector is nu verschoven naar het opnieuw kopen van verlopen domeinen, omdat de Snap Store-repository geen relevantiecontrole heeft geïmplementeerd. domeinnamen, gebruikt in e-mailadressen. Vorig jaar stuitte de PyPI-repository (Python Package Index) op een soortgelijk probleem, waarbij e-mailadressen met verlopen domeinen automatisch als niet-geverifieerd werden gemarkeerd. Meer dan 1800 van dergelijke e-mailadressen werden geblokkeerd op PyPI.
Bron: opennet.ru
