อลัน โป๊ป อดีตผู้จัดการฝ่ายวิศวกรรมและชุมชนของ Canonical สังเกตเห็นการโจมตีรูปแบบใหม่ที่มุ่งเป้าไปที่ผู้ใช้แคตตาล็อกแอป Snap Store แทนที่จะลงทะเบียนบัญชีใหม่ ผู้โจมตีเริ่มซื้อโดเมนที่หมดอายุแล้วซึ่งอยู่ในที่อยู่อีเมลของนักพัฒนา Snap ที่ลงทะเบียนไว้ หลังจากซื้อโดเมนแล้ว ผู้โจมตีจะเปลี่ยนเส้นทางการรับส่งอีเมลไปยังเซิร์ฟเวอร์ของตน และเมื่อควบคุมที่อยู่อีเมลได้แล้ว ก็จะเริ่มกระบวนการกู้คืนรหัสผ่านเพื่อเข้าถึงบัญชี
ด้วยการเข้าถึงบัญชีที่มีอยู่แล้ว ผู้โจมตีสามารถติดตั้งการอัปเดตที่เป็นอันตรายลงในแอปพลิเคชันที่เผยแพร่ไปแล้วและน่าเชื่อถือได้ โดยหลีกเลี่ยงการตรวจสอบที่เข้มงวดขึ้นสำหรับผู้ใช้ใหม่ และหลีกเลี่ยงการเพิ่มป้ายเตือนสำหรับโครงการใหม่ อลัน โป๊ป ได้ระบุโดเมนอย่างน้อยสองโดเมน (enstorewise.tech และ vagueentertainment.com) ที่ผู้โจมตีซื้อเพื่อเข้ายึดบัญชี แต่เชื่อว่ายังมีกรณีเช่นนี้อีกมากมาย
ในอดีต ผู้โจมตีจำกัดตัวเองอยู่แค่การลงทะเบียนบัญชีของตนเองและเผยแพร่แพ็กเกจที่เป็นอันตรายซึ่งปลอมแปลงเป็นเวอร์ชันทางการของซอฟต์แวร์ยอดนิยม หรือใช้ชื่อที่คล้ายกับแพ็กเกจที่มีอยู่แล้ว (typosquatting) เพื่อตอบสนองต่อเรื่องนี้ Canonical จึงได้นำระบบตรวจสอบชื่อแพ็กเกจใหม่ที่โพสต์ลงใน Snap Store มาใช้เป็นครั้งแรก นับตั้งแต่นั้นมา ผู้เผยแพร่มัลแวร์จึงมุ่งเน้นไปที่การโพสต์แพ็กเกจต้นฉบับ โปรโมตบนโซเชียลมีเดีย และในที่สุดก็เผยแพร่การอัปเดตที่เป็นอันตรายซึ่งพยายามหลีกเลี่ยงการตรวจสอบและตัวกรองอัตโนมัติของ Snap Store
ขณะนี้ รูปแบบการโจมตีได้เปลี่ยนไปเป็นการซื้อโดเมนที่หมดอายุแล้วคืน เนื่องจากคลังเก็บข้อมูลของ Snap Store ไม่ได้ทำการตรวจสอบความเกี่ยวข้องของโดเมนเหล่านั้น ชื่อโดเมนใช้ในที่อยู่อีเมล ปีที่แล้ว คลังเก็บข้อมูล PyPI (Python Package Index) ประสบปัญหาคล้ายกัน โดยระบบจะทำเครื่องหมายที่อยู่อีเมลที่มีโดเมนหมดอายุว่าไม่ได้รับการตรวจสอบโดยอัตโนมัติ ส่งผลให้ที่อยู่อีเมลมากกว่า 1800 รายการถูกบล็อกบน PyPI
ที่มา: opennet.ru
