Snap’ler, Linux masaüstü bilgisayarları, sunucuları ve yerleşik aygıtları için sıkıştırılmış, kriptografik olarak imzalanmış, geri döndürülebilir yazılım paketleridir.
Canonical’in Snap Store’unu hedef alan karmaşık bir kampanya, tehdit aktörlerinin yeni hesaplar altında kötü amaçlı yazılım yayınlamaktan, süresi dolmuş alan adını devralma yoluyla yerleşik yayıncıları ele geçirmeye yönelmesiyle dramatik bir şekilde arttı.
Bu, Linux kullanıcılarının daha önce ek paketleri yüklerken güvendikleri güven sinyallerinde temel bir erozyonu temsil ediyor.
Dolandırıcılar, hesap kurtarma mekanizmalarında kritik bir zayıflık keşfettiler: E-posta etki alanlarının süresi dolmuş geliştiriciler tarafından yıllar önce yayınlanan anlık görüntüleri sistematik olarak tespit ediyorlar.
Storewise gibi bir yayıncının alan adı kaydının süresi dolduğunda. tech veya belirsizentertainment.com saldırganları bu alan adlarını kaydettirmek ve Snap Store parola sıfırlama işlevinden yararlanmak için devreye giriyor.
Alan adı kontrolü kurulduğunda, “Yeni Yayıncı” uyarılarını veya normalde şüpheli hesapları işaretleyen yüksek incelemeyi tetiklemeden hesap devralmalarını tetiklerler.
Etki derindir. Yıllar süren kurulum geçmişine sahip daha önce güvenilir olan anlık görüntüler, aniden kripto para cüzdanı hırsızlarını içeren kötü amaçlı güncellemeleri zorluyor ve bir güven göstergesi olarak yayıncının uzun ömürlülüğüne güvenen kullanıcılar için meşru görünen bir vektör yaratıyor.
Kötü Amaçlı Yazılım Altyapısı
Analizler, muhtemelen Hırvatistan’da veya yakınında faaliyet gösteren faillerin, öncelikle Exodus, Ledger Live ve Trust Wallet kılığına girerek sahte kripto para birimi cüzdan uygulamaları kullandıklarını ortaya koyuyor.
Bu uygulamalar öngörülebilir bir saldırı dizisi gerçekleştirir: kullanıcılardan cüzdan kurtarma ifadelerini girmelerini talep eder, kimlik bilgilerini Telegram entegrasyonu yoluyla saldırganın altyapısına sızdırır, yanlış hatalar görüntüler ve kullanıcılar güvenliği ihlalini tespit etmeden cüzdanları boşaltır.
Komuta ve kontrol altyapısına ilişkin teknik inceleme, operasyonel güvenlik hatalarını ortaya çıkardı.
Asıl amacım, Syft kullanarak her snap için bir SBOM (Yazılım Malzeme Listesi) oluşturan ve ardından Grype kullanarak bir güvenlik açığı raporu üreten bir web uygulaması oluşturmaktı.
Arka uç bağlantı testi, başlangıçta Telegram bot tanımlayıcılarını ve kullanıcı adlarını (özellikle “pandadrainerbot” ve kullanıcı “@ikaikaika101”) içeren JSON yanıtlarını açığa çıkardı, ancak dolandırıcılar daha sonra bu tanımlayıcıları açığa çıktıktan sonra kaldırdı.
C2 URL modeli, hassas verileri talep etmeden önce bağlantıyı sorgulayarak, kimlik bilgileri toplanmadan önce sızma altyapısının çalışır durumda kalmasını sağlar.
Tehdit aktörleri, gizleme yöntemlerini giderek geliştirdi. İlk denemeler orijinal görünümlü uygulama arayüzlerine dayanıyordu.
Daha sonraki yinelemelerde, Latin karakterlerini diğer alfabelerden benzerleriyle değiştiren görsel homoglif saldırıları kullanıldı (Ermenice Zhe “Ԫ” “d” için, Kiril Palochka “ԏ” “L” için).
Saldırganlar son zamanlarda yem-değiştir yaklaşımlarını benimsedi: “limon atma” veya “alfa-hub” gibi zararsız anlık adları kaydetme, onay için zararsız uygulamalar yayınlama ve ardından güven kazandıktan sonra cüzdan hırsızlarını içeren kötü niyetli revizyonları zorlama.
Azaltmalar
Snap Store güvenlik modeli, topluluk raporlamasına dayanır ve kötü amaçlı yazılımların yayınlanması ile kaldırılması arasında gecikmelere neden olur.
Yayıncıların etkin alan adı kayıtlarını sürdürmesi ve iki faktörlü kimlik doğrulamayı etkinleştirmesi gerekir. Canonical, yayıncı hesapları için alan adı süresinin sona ermesini izlemeyi uygulamalı, hareketsiz hesaplar için zorunlu 2FA hesabını zorunlu kılmalı ve süresi geçmiş alan adlarından hesap kurtarılmadan önce ek doğrulama talep etmelidir.
Kullanıcılar herhangi bir müdahale gerçekleşmeden önce kötü amaçlı uygulamalarla karşılaşabilir, yükleyebilir ve bu uygulamalara maruz kalabilir. Kamuya açık olarak yayınlanan 7.000’den fazla anlık görüntü ve minimum yayın engeliyle saldırı yüzeyi hala geniş.
Kullanıcılar herhangi bir uygulama mağazasındaki kripto para cüzdanı uygulamalarından kaçınmalı, bunun yerine doğrudan resmi proje web sitelerinden indirmelidir. Yayınlama ve algılama arasındaki boşluk, güvenilmeyen kaynaklardan güvenli kurulum için çok dar kalıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.