Алан Поуп, бивши менаџер инжењеринга и заједнице у компанији Canonical, приметио је нови талас напада усмерених на кориснике каталога апликација Snap Store. Уместо регистрације нових налога, нападачи су почели да купују истекле домене наведене у имејл адресама регистрованих Snap програмера. Након куповине домена, нападачи преусмеравају имејл саобраћај на свој сервер и, након што су стекли контролу над имејл адресом, покрећу процес опоравка заборављене лозинке како би приступили налогу.
Преузимањем контроле над постојећим налогом, нападачи могу да инсталирају злонамерна ажурирања на претходно објављене, поуздане апликације, заобилазећи побољшане провере које се примењују на нове кориснике и избегавајући додавање упозорења за нове пројекте. Алан Поуп је идентификовао најмање два домена (enstorewise.tech и vagueentertainment.com) које су нападачи купили да би отели налоге, али се верује да постоји много више таквих случајева.
У прошлости, нападачи су се ограничавали на регистрацију сопствених налога и објављивање злонамерних пакета који су опонашали званичне верзије популарног софтвера или користили имена слична постојећим пакетима (типосквотинг). Као одговор на то, Canonical је увео ручну верификацију имена нових пакета објављених у Snap Store-у по први пут. Од тада, дистрибутери злонамерног софтвера су се првенствено фокусирали на објављивање оригиналних пакета, њихово промовисање на друштвеним мрежама и на крају објављивање злонамерног ажурирања које покушава да заобиђе аутоматизоване провере и филтере Snap Store-а.
Сада се вектор напада померио ка поновној куповини истеклих домена, јер репозиторијум Snap Store-а није имплементирао проверу релевантности. имена домена, који се користи у имејл адресама. Прошле године, PyPI (Python Package Index) репозиторијум је наишао на сличан проблем, аутоматски означавајући имејл адресе са истеклим доменима као непроверене. Више од 1800 таквих имејл адреса је блокирано на PyPI-ју.
Извор: опеннет.ру
