Alan Pope, bývalý manažér pre inžinierstvo a komunitu v spoločnosti Canonical, si všimol novú vlnu útokov zameraných na používateľov katalógu aplikácií Snap Store. Namiesto registrácie nových účtov začali útočníci kupovať domény s expirovanou platnosťou uvedené v e-mailových adresách registrovaných vývojárov Snapu. Po zakúpení domény útočníci presmerujú e-mailovú prevádzku na svoj server a po získaní kontroly nad e-mailovou adresou spustia proces obnovenia zabudnutého hesla pre prístup k účtu.
Získaním kontroly nad existujúcim účtom môžu útočníci nasadiť škodlivé aktualizácie do predtým publikovaných, dôveryhodných aplikácií, čím obídu rozšírené kontroly uplatňované na nových používateľov a vyhnú sa pridávaniu varovných štítkov pre nové projekty. Alan Pope identifikoval najmenej dve domény (enstorewise.tech a vagueentertainment.com), ktoré útočníci zakúpili na únos účtov, ale predpokladá sa, že takýchto prípadov je oveľa viac.
V minulosti sa útočníci obmedzovali na registráciu vlastných účtov a publikovanie škodlivých balíkov, ktoré napodobňovali oficiálne zostavy populárneho softvéru alebo používali názvy podobné existujúcim balíkom (typosquatting). V reakcii na to spoločnosť Canonical zaviedla manuálne overovanie názvov nových balíkov zverejnených v obchode Snap Store po prvýkrát. Odvtedy sa distribútori škodlivého softvéru zameriavajú predovšetkým na zverejňovanie originálnych balíkov, ich propagáciu na sociálnych sieťach a nakoniec na publikovanie škodlivej aktualizácie, ktorá sa pokúša obísť automatické kontroly a filtre obchodu Snap Store.
Vektor útoku sa teraz presunul smerom k spätnému nákupu expirovaných domén, pretože repozitár Snap Store neimplementoval kontrolu relevantnosti. názvy domén, používaný v e-mailových adresách. Minulý rok sa repozitár PyPI (Python Package Index) stretol s podobným problémom, keď automaticky označoval e-mailové adresy s expirovanými doménami ako neoverené. Na PyPI bolo zablokovaných viac ako 1 800 takýchto e-mailových adries.
Zdroj: opennet.ru
