Napansin ni Alan Pope, dating Engineering at Community Manager sa Canonical, ang isang bagong bugso ng mga pag-atake na tumatarget sa mga gumagamit ng Snap Store app catalog. Sa halip na magparehistro ng mga bagong account, sinimulan ng mga attacker ang pagbili ng mga expired na domain na nakalista sa mga email address ng mga rehistradong Snap developer. Matapos bilhin ang domain, ire-redirect ng mga attacker ang trapiko ng email sa kanilang server at, nang makontrol na ang email address, magsisimula ng isang proseso ng pagbawi ng nakalimutang password upang ma-access ang account.
Sa pamamagitan ng pagkontrol sa isang umiiral na account, maaaring mag-deploy ang mga attacker ng mga malisyosong update sa mga dati nang nailathala at pinagkakatiwalaang app, na nilalampasan ang mga pinahusay na pagsusuri na inilapat sa mga bagong user at iniiwasan ang pagdaragdag ng mga label ng babala para sa mga bagong proyekto. Natukoy ni Alan Pope ang hindi bababa sa dalawang domain (enstorewise.tech at vagueentertainment.com) na binili ng mga attacker upang i-hijack ang mga account, ngunit pinaniniwalaang marami pang ganitong mga kaso.
Dati, nilimitahan ng mga attacker ang kanilang sarili sa pagpaparehistro ng kanilang sariling mga account at paglalathala ng mga malisyosong pakete na nagpapanggap na opisyal na build ng mga sikat na software o gumamit ng mga pangalang katulad ng mga umiiral na pakete (typosquatting). Bilang tugon, ipinakilala ng Canonical ang manu-manong pag-verify ng mga bagong pangalan ng pakete na nai-post sa Snap Store sa unang pagkakataon. Simula noon, ang mga distributor ng malware ay pangunahing nakatuon sa pag-post ng mga orihinal na pakete, pag-promote ng mga ito sa social media, at kalaunan ay paglalathala ng isang malisyosong update na nagtatangkang lampasan ang mga awtomatikong pagsusuri at filter ng Snap Store.
Ngayon, ang paraan ng pag-atake ay lumipat na patungo sa pagbili muli ng mga nag-expire nang domain, dahil ang repositoryo ng Snap Store ay hindi nagpatupad ng relevancy check. mga pangalan ng domain, ginagamit sa mga email address. Noong nakaraang taon, ang PyPI (Python Package Index) repository ay nakaranas ng katulad na problema, na awtomatikong minarkahan ang mga email address na may mga expired na domain bilang hindi na-verify. Mahigit sa 1800 na naturang email address ang na-block sa PyPI.
Pinagmulan: opennet.ru
