Canonical'da eski Mühendislik ve Topluluk Yöneticisi olan Alan Pope, Snap Store uygulama kataloğu kullanıcılarını hedef alan yeni bir saldırı dalgası fark etti. Saldırganlar, yeni hesaplar kaydetmek yerine, kayıtlı Snap geliştiricilerinin e-posta adreslerinde listelenen süresi dolmuş alan adlarını satın almaya başladılar. Alan adını satın aldıktan sonra, saldırganlar e-posta trafiğini kendi sunucularına yönlendiriyor ve e-posta adresinin kontrolünü ele geçirdikten sonra, hesaba erişmek için unutulan şifre kurtarma işlemini başlatıyorlar.
Saldırganlar, mevcut bir hesabın kontrolünü ele geçirerek, daha önce yayınlanmış, güvenilir uygulamalara kötü amaçlı güncellemeler yükleyebilir, yeni kullanıcılara uygulanan gelişmiş kontrolleri atlayabilir ve yeni projeler için uyarı etiketlerinin eklenmesini engelleyebilirler. Alan Pope, saldırganların hesapları ele geçirmek için satın aldığı en az iki alan adını (enstorewise.tech ve vagueentertainment.com) tespit etti, ancak bu tür vakaların çok daha fazla olduğu düşünülüyor.
Geçmişte, saldırganlar kendilerini kendi hesaplarını kaydetmek ve popüler yazılımların resmi sürümlerini taklit eden veya mevcut paketlere benzer isimler kullanan (yazım hatasıyla alan adı ele geçirme) kötü amaçlı paketler yayınlamakla sınırlamışlardı. Buna karşılık, Canonical ilk kez Snap Store'a gönderilen yeni paket adlarının manuel olarak doğrulanmasını sağladı. O zamandan beri, kötü amaçlı yazılım dağıtıcıları öncelikle orijinal paketler yayınlamaya, bunları sosyal medyada tanıtmaya ve sonunda Snap Store'un otomatik kontrollerini ve filtrelerini atlatmaya çalışan kötü amaçlı bir güncelleme yayınlamaya odaklandılar.
Snap Store deposu geçerlilik kontrolü uygulamadığı için saldırı vektörü artık süresi dolmuş alan adlarını yeniden satın almaya doğru kaydı. alan adlarıE-posta adreslerinde kullanılan bu özellik, geçen yıl PyPI (Python Paket Dizini) deposunda da benzer bir soruna yol açarak, süresi dolmuş alan adlarına sahip e-posta adreslerini otomatik olarak doğrulanmamış olarak işaretlemesine neden oldu. Bu nedenle PyPI'da 1800'den fazla e-posta adresi engellendi.
Kaynak: opennet.ru
