Alan Pope, fost manager de inginerie și comunitate la Canonical, a observat un nou val de atacuri care vizează utilizatorii catalogului de aplicații Snap Store. În loc să înregistreze conturi noi, atacatorii au început să cumpere domenii expirate listate în adresele de e-mail ale dezvoltatorilor Snap înregistrați. După achiziționarea domeniului, atacatorii redirecționează traficul de e-mail către serverul lor și, după ce au obținut controlul asupra adresei de e-mail, inițiază un proces de recuperare a parolei uitate pentru a accesa contul.
Prin obținerea controlului asupra unui cont existent, atacatorii pot implementa actualizări rău intenționate în aplicațiile de încredere publicate anterior, ocolind verificările avansate aplicate noilor utilizatori și evitând adăugarea de etichete de avertizare pentru proiectele noi. Alan Pope a identificat cel puțin două domenii (enstorewise.tech și vagueentertainment.com) achiziționate de atacatori pentru a deturna conturi, dar se crede că există mult mai multe astfel de cazuri.
În trecut, atacatorii se limitau la înregistrarea propriilor conturi și publicarea de pachete rău intenționate care imitau versiuni oficiale ale unor software-uri populare sau foloseau nume similare cu cele ale pachetelor existente (typosquatting). Ca răspuns, Canonical a introdus pentru prima dată verificarea manuală a numelor de pachete noi postate în Snap Store. De atunci, distribuitorii de programe malware s-au concentrat în principal pe postarea de pachete originale, promovarea acestora pe rețelele de socializare și, în cele din urmă, publicarea unei actualizări rău intenționate care încearcă să ocolească verificările și filtrele automate ale Snap Store.
Acum, vectorul de atac s-a mutat către răscumpărarea domeniilor expirate, deoarece depozitul Snap Store nu a implementat o verificare a relevanței. nume de domeniu, utilizat în adresele de e-mail. Anul trecut, depozitul PyPI (Python Package Index) a întâmpinat o problemă similară, marcând automat adresele de e-mail cu domenii expirate ca neverificate. Peste 1800 de astfel de adrese de e-mail au fost blocate pe PyPI.
Sursa: opennet.ru
