Alan Pope, tidigare teknik- och communitychef på Canonical, har noterat en ny våg av attacker riktade mot användare av Snap Store-appkatalogen. Istället för att registrera nya konton har angriparna börjat köpa utgångna domäner som listas bland e-postadresserna till registrerade Snap-utvecklare. Efter att ha köpt domänen omdirigerar angriparna e-posttrafiken till sin server och, efter att ha fått kontroll över e-postadressen, initierar de en återställningsprocess för glömt lösenord för att komma åt kontot.
Genom att få kontroll över ett befintligt konto kan angripare distribuera skadliga uppdateringar till tidigare publicerade, betrodda appar, kringgå de utökade kontroller som tillämpas på nya användare och undvika att varningsetiketter läggs till för nya projekt. Alan Pope har identifierat minst två domäner (enstorewise.tech och vagueentertainment.com) som köpts av angripare för att kapa konton, men man tror att det finns många fler sådana fall.
Tidigare begränsade sig angripare till att registrera sina egna konton och publicera skadliga paket som imiterade officiella versioner av populär programvara eller använde namn som liknade befintliga paket (typosquatting). Som svar introducerade Canonical manuell verifiering av nya paketnamn som publicerades i Snap Store för första gången. Sedan dess har distributörer av skadlig kod främst fokuserat på att publicera originalpaket, marknadsföra dem på sociala medier och så småningom publicera en skadlig uppdatering som försöker kringgå Snap Stores automatiska kontroller och filter.
Nu har attackvektorn förskjutits mot att återköpa utgångna domäner, eftersom Snap Store-arkivet inte implementerade en relevanskontroll. domännamn, används i e-postadresser. Förra året stötte PyPI-arkivet (Python Package Index) på ett liknande problem, där e-postadresser med utgångna domäner automatiskt markerades som overifierade. Mer än 1 800 sådana e-postadresser blockerades på PyPI.
Källa: opennet.ru
