Una nueva y sofisticada oleada de ataques está comprometiendo la confianza en la Snap Store de Canonical, pues hace pocos días, Alan Pope (exgerente de Ingeniería y Comunidad de la compañía), ha revelado una nueva técnica de ataque que difiere de los métodos tradicionales de distribución de malware.

Y es que ahora los atacantes ya no se conforman con crear aplicaciones falsas, sino que están secuestrando cuentas de desarrolladores legítimos aprovechando la caducidad de sus dominios de correo electrónico.

La evolución del ataque: Del engaño a la suplantación total

Dentro de los ataques más comunes que se solían ver dentro de Linux, los atacantes empleaban técnicas como el typosquatting, registrando nombres de paquetes muy similares a los de aplicaciones populares, o publicaban software nuevo esperando que algún usuario desprevenido lo instalara. Ante ello, Canonical y diversos distribuidores de software, respondieron a estas amenazas implementando verificaciones manuales para los nombres de nuevos paquetes, lo que dificultó la entrada de malware por estas vías tradicionales. Sin embargo, la nueva estrategia detectada por Pope elude completamente estos filtros al explotar la reputación de cuentas ya establecidas.

El modus operandi es tan sencillo como devastador, pues los atacantes rastrean la tienda en busca de aplicaciones abandonadas o de desarrolladores que han dejado expirar los dominios de internet asociados a sus correos electrónicos de registro (por ejemplo, admin@proyectoolvidado.com). Una vez identificado un objetivo, compran el dominio caducado, reactivan la dirección de correo electrónico y solicitan un restablecimiento de contraseña en la Snap Store. Al obtener acceso a la cuenta, se encuentran con un perfil que el sistema considera confiable, sin las restricciones ni etiquetas de advertencia que se aplican a los nuevos usuarios.

El objetivo: Carteras de criptomonedas y datos sensibles

Una vez que los atacantes toman el control de la cuenta, lanzan actualizaciones maliciosas para las aplicaciones existentes. Dado que el software ya estaba publicado y aprobado, estas actualizaciones a menudo pasan desapercibidas para los filtros de seguridad automáticos. El objetivo principal de estas campañas parece ser el robo de criptomonedas. Pope ha documentado cómo estas aplicaciones modificadas, que a menudo se hacen pasar por billeteras como Exodus o Ledger Live, solicitan las frases de recuperación de los usuarios y envían las credenciales a servidores controlados por los atacantes, vaciando las cuentas de las víctimas en cuestión de minutos.

Durante su investigación con SnapScope, una herramienta que desarrolló originalmente para auditar la seguridad de los paquetes Snap, Pope descubrió que muchas de estas aplicaciones maliciosas se comunican con bots de Telegram para exfiltrar los datos robados. Al analizar el tráfico de red de estos paquetes, pudo identificar identificadores de chat y nombres de usuario específicos, lo que confirma que hay una operación organizada detrás de estos incidentes, posiblemente operando desde Europa del Este.

Este vector de ataque pone sobre la mesa una vulnerabilidad crítica en la gestión de la identidad dentro de los repositorios de software. A diferencia de un ataque directo a los servidores de Canonical, esto es un ataque a la cadena de suministro de identidad. Pope identificó dominios específicos que fueron adquiridos por atacantes con el único propósito de secuestrar cuentas.

El problema no es exclusivo de la Snap Store; el año pasado, el índice de paquetes de Python (PyPI) enfrentó una crisis idéntica y tuvo que bloquear preventivamente más de 1800 direcciones de correo electrónico vinculadas a dominios caducados. La comunidad de seguridad insta a Canonical a implementar medidas similares, como la verificación continua de la validez de los dominios de correo electrónico o la imposición de la autenticación de dos factores (2FA) obligatoria para todos los editores, lo que impediría que el simple control del correo electrónico fuera suficiente para secuestrar una cuenta.

Para los usuarios finales, la recomendación es clara pero incómoda, ya que la confianza ciega en la tienda de aplicaciones ya no es segura, especialmente cuando se trata de software financiero o de criptomonedas. La longevidad de una cuenta de desarrollador ya no es garantía de seguridad, y se aconseja descargar este tipo de aplicaciones críticas directamente desde las páginas oficiales de los proveedores en lugar de depender de los gestores de paquetes del sistema hasta que se implementen controles más estrictos.

Fuente: https://blog.popey.com