Alan Pope, nekdanji vodja inženiringa in skupnosti pri Canonicalu, je opazil nov val napadov, usmerjenih v uporabnike kataloga aplikacij Snap Store. Namesto registracije novih računov so napadalci začeli kupovati potečene domene, navedene v e-poštnih naslovih registriranih razvijalcev Snapa. Po nakupu domene napadalci preusmerijo e-poštni promet na svoj strežnik in, ko pridobijo nadzor nad e-poštnim naslovom, sprožijo postopek obnovitve pozabljenega gesla za dostop do računa.
Z nadzorom nad obstoječim računom lahko napadalci namestijo zlonamerne posodobitve v predhodno objavljene, zaupanja vredne aplikacije, s čimer zaobidejo izboljšana preverjanja, ki veljajo za nove uporabnike, in se izognejo dodajanju opozorilnih oznak za nove projekte. Alan Pope je identificiral vsaj dve domeni (enstorewise.tech in vagueentertainment.com), ki so jih napadalci kupili za ugrabitev računov, vendar naj bi bilo takšnih primerov še veliko več.
V preteklosti so se napadalci omejevali na registracijo lastnih računov in objavo zlonamernih paketov, ki so posnemali uradne različice priljubljene programske opreme ali uporabljali imena, podobna obstoječim paketom (typosquatting). Canonical se je v odgovor prvič odzval na ročno preverjanje imen novih paketov, objavljenih v trgovini Snap Store. Od takrat se distributerji zlonamerne programske opreme osredotočajo predvsem na objavljanje originalnih paketov, njihovo promocijo na družbenih omrežjih in sčasoma na objavo zlonamerne posodobitve, ki poskuša zaobiti avtomatizirana preverjanja in filtre trgovine Snap Store.
Zdaj se je vektor napada premaknil k ponovnemu odkupu potečenih domen, saj repozitorij Snap Store ni izvajal preverjanja ustreznosti. domenska imena, ki se uporablja v e-poštnih naslovih. Lani je repozitorij PyPI (Python Package Index) naletel na podobno težavo, saj je e-poštne naslove s potečenimi domenami samodejno označil kot nepreverjene. Na PyPI je bilo blokiranih več kot 1800 takšnih e-poštnih naslovov.
Vir: opennet.ru
