Ubuntu katılımcısı ve eski Canonical geliştiricisi Alan Pope, kripto para hırsızlarının Snap Store’daki Linux için güvenilir yazılım paketlerini kripto çalan kötü amaçlı yazılımlara dönüştürmenin yeni bir yolunu bulduğu konusunda uyardı.
SnapScope web uygulaması kötü amaçlı snap’leri tespit ediyor (Kaynak: Alan Pope)
Saldırganlar, Canonical tarafından çalıştırılan bu paket deposunda yeni hesaplar oluşturmak yerine, süresi dolmuş web etki alanlarını ve mevcut Snap Store yayıncılarına bağlı ilişkili e-posta sunucularını ele geçiriyor ve bu erişimi, Snapcraft hesaplarını ele geçirmek ve daha önce zararsız olan paketlere kötü amaçlı güncellemeler göndermek için kullanıyor.
Saldırganların en yeni yaklaşımı
Diğer popüler yazılım paketi depoları gibi Snap Store da yıllardır kötü amaçlı yazılım satıcılarının hedefi oluyor.
Başlangıçta dolandırıcılar yeni Snap Store hesapları oluşturdular ve orijinal görünümlü ancak sahte kripto cüzdan uygulamaları yayınladılar. Bir süre sonra, snap paket adları için diğer alfabelerdeki benzer görünümlü karakterleri kullanarak metin filtrelerinden kaçmaya başladılar.
“Son zamanlarda yem değiştir yaklaşımını benimsediler: Zararsız, ilgisiz bir ek ad kaydedin: limon atmak, alfa merkeziveya tenor dondurmazararsız bir şey yayınlayın – genellikle oyun olduğunu iddia edin, onay bekleyin, [and] Sahte kripto cüzdan uygulamasını içeren ikinci bir revizyonu yayınlayın,” diye açıkladı Pope.
Ancak artık süresi dolmuş alan adlarını arayıp kaydederek diğer geliştiricilerin uzun süredir devam eden hesaplarını da devralmaya başladılar.
“Son dönemde yaşanan en az iki vakada saldırganlar alan adlarını ele geçirdi [storewise.tech and vagueentertainment.com] orijinal Snap yayıncılarından geldiğini ve bunları otomatik uygulama güncellemelerinde gizlenen cüzdan çalan kötü amaçlı yazılımları yaymak için kullandığını tespit etti.
“Kötü niyetli anlık görüntüler normal görünüyordu ancak [crypto wallet] kurtarma ifadeleri ve bunları saldırganların kontrolündeki sunuculara gönderin. Kullanıcılar bir şeylerin ters gittiğini fark ettiğinde kripto para birimleri veya diğer hassas veriler kaybolur.”
Kullanıcılar ve geliştiriciler için tavsiyeler
Canonical, kötü amaçlı snapleri kaldırdı ancak Pope, kötü amaçlı paket akınını durdurmak için daha kapsamlı çözümlerin gerekli olduğunu söylüyor.
“Alan devralma açısı özellikle endişe verici çünkü kullanıcıların sahip olduğu birkaç güven sinyalinden birini baltalıyor: yayıncının ömrü. İster yayıncı hesaplarındaki alan süresinin sona ermesinin izlenmesi, ister hareketsiz olan hesaplar için ek doğrulama gerektirmesi, zorunlu iki faktörlü kimlik doğrulamanın uygulanması veya tamamen başka bir şey olsun, Canonical’in bu konuyu ele alması gerekiyor.”
Kendisi ve diğer güvenlik profesyonelleri düzenli olarak “kötü” snap’ler rapor ederken, Canonical’in bunları Snap Store’dan kaldırmasının zaman zaman günler sürdüğünü de belirtti.
Kullanıcılara kripto para cüzdanı snap’leri konusunda özellikle dikkatli olmalarını ve bu tür uygulamaları herhangi bir uygulama mağazası yerine doğrudan resmi proje sitelerinden almayı düşünmelerini tavsiye etti.
Pope ayrıca, kullanıcıların bir snap’i kullanmaya başlamadan önce savunmasız, şüpheli veya kötü amaçlı olup olmadığını kontrol etmek için kullanabilecekleri bir web uygulaması olan SnapScope’u da yarattı.
Son olarak Snap yayıncılarına alan adı kayıtlarını güncel tutmalarını ve e-posta ve Snapcraft hesapları için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmelerini tavsiye etti.
Hel Net Security, alan adı sahipliği ve hesap kurtarma konusunda ek güvenlik önlemleri ve halihazırda yayınlanmış anlık görüntülere yönelik kötü amaçlı güncellemeleri tespit etmek için ek kontroller uygulamak isteyip istemediklerini sormak üzere Canonical’a ulaştı. Paylaşacak daha fazla bilgimiz olduğunda bu makaleyi güncelleyeceğiz.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!