Alan Pope, ex-gerente de Engenharia e Comunidade da Canonical, observou uma nova onda de ataques direcionados a usuários do catálogo de aplicativos da Snap Store. Em vez de registrar novas contas, os atacantes começaram a comprar domínios expirados listados nos endereços de e-mail de desenvolvedores registrados da Snap. Após a compra do domínio, os atacantes redirecionam o tráfego de e-mail para seu servidor e, tendo obtido o controle do endereço de e-mail, iniciam um processo de recuperação de senha esquecida para acessar a conta.
Ao obterem o controle de uma conta existente, os atacantes podem implantar atualizações maliciosas em aplicativos confiáveis já publicados, burlando as verificações reforçadas aplicadas a novos usuários e evitando a adição de avisos para novos projetos. Alan Pope identificou pelo menos dois domínios (enstorewise.tech e vagueentertainment.com) comprados por atacantes para sequestrar contas, mas acredita-se que existam muitos outros casos semelhantes.
No passado, os atacantes se limitavam a registrar suas próprias contas e publicar pacotes maliciosos que se passavam por versões oficiais de softwares populares ou usavam nomes semelhantes a pacotes existentes (typosquatting). Em resposta, a Canonical introduziu, pela primeira vez, a verificação manual de novos nomes de pacotes publicados na Snap Store. Desde então, os distribuidores de malware têm se concentrado principalmente em publicar pacotes originais, promovê-los nas redes sociais e, eventualmente, publicar uma atualização maliciosa que tenta burlar as verificações e filtros automatizados da Snap Store.
Agora, o vetor de ataque mudou para a recompra de domínios expirados, já que o repositório da Snap Store não implementou uma verificação de relevância. nomes de domínio, usado em endereços de e-mail. No ano passado, o repositório PyPI (Python Package Index) enfrentou um problema semelhante, marcando automaticamente como não verificados os endereços de e-mail com domínios expirados. Mais de 1800 desses endereços de e-mail foram bloqueados no PyPI.
Fonte: opennet.ru
