Алан Поуп (Alan Pope), колишній менеджер з інжинірингу та взаємодії із співтовариством у компанії Canonical, звернув увагу на нову хвилю атак на користувачів каталогу додатків Snap Store. Замість реєстрації нових облікових записів, зловмисники почали викуповувати прострочені домени, що фігурують у електронній пошті зареєстрованих розробників snap-пакетів. Після перекупівлі домену зловмисники перенаправляють поштовий трафік на свій сервер і отримавши контроль над email, ініціюють процес відновлення забутого пароля для доступу до облікового запису.
Отримавши контроль за існуючим обліковим записом атакуючі можуть розмістити шкідливе оновлення раніше опублікованих програм, що заслуговують на довіру, обійшовши розширені перевірки, що застосовуються до нових учасників, і уникнувши додавання попереджувальних міток про нові проекти. Алан Поуп виявив як мінімум два домени (enstorewise.tech та vagueentertainment.com), викуплені зловмисниками для захоплення облікових записів, але передбачається, що таких випадків набагато більше.
У минулому зловмисники обмежувалися реєстрацією власних облікових записів, під якими публікувалися шкідливі пакети, що видають себе за офіційні збірки популярних програм, або використовують імена, схожі на існуючі пакети (тайпсквоттінг). У відповідь компанія Canonical ввела ручну перевірку нових імен пакетів, які вперше розміщуються в Snap Store. Після цього основна активність розповсюджувачів шкідливого ПЗ зосередилася на розміщенні оригінальних пакетів, їх рекламуванні в соціальних мережах та публікації через якийсь час шкідливого оновлення, що намагається обійти автоматизовані перевірки та фільтри, що є в Snap Store.
Тепер вектор атаки змістився у бік перекупки прострочених доменів, оскільки у репозиторії Snap Store не було реалізовано перевірку актуальності доменних імен, що використовуються в email-адресах. Минулого року з подібною проблемою зіштовхнувся репозиторій PyPI (Python Package Index), який почав автоматично переводити email із простроченими доменами у стан непідтверджених. У PyPI було заблоковано понад 1800 подібних email-адрес.
Джерело: opennet.ru
