Người dùng Linux chú ý: Snap Store bùng phát hình thức tấn công mới, tên miền hết hạn trở thành “cửa hậu” của hacker
Alan Pope – cựu nhân viên Canonical và là thành viên kỳ cựu của cộng đồng, đã đưa ra cảnh báo nghiêm trọng, cho biết Snap Store (cửa hàng ứng dụng Snap do Canonical, công ty đứng sau Ubuntu, vận hành) đang đối mặt với một kiểu tấn công chuỗi cung ứng mới.
Hiện Alan Pope đang duy trì gần 50 ứng dụng Snap. Trong blog của mình, ông cảnh báo một xu hướng đáng lo ngại: kẻ tấn công đang lợi dụng lỗ hổng trong cơ chế vận hành của nền tảng để biến những ứng dụng “lương thiện” đã tồn tại lâu năm thành phần mềm độc hại.
Trước đây, các cuộc tấn công thường dựa vào việc tạo tài khoản mới và dựng lên trang ứng dụng giả mạo tinh vi, nên tương đối dễ bị phát hiện. Tuy nhiên, hiện nay hacker đã chuyển sang theo dõi các tài khoản nhà phát triển trên Snap Store có tên miền liên kết đã hết hạn.
Khi phát hiện một tên miền mục tiêu không còn hiệu lực, kẻ tấn công sẽ nhanh chóng đăng ký lại tên miền đó, sau đó dùng địa chỉ email thuộc tên miền này để kích hoạt chức năng đặt lại mật khẩu trên Snap Store, qua đó dễ dàng chiếm quyền kiểm soát tài khoản phát hành đã có uy tín lâu năm. Điều này đồng nghĩa với việc những phần mềm hợp pháp mà người dùng đã cài đặt và tin tưởng suốt nhiều năm có thể chỉ sau một đêm đã bị hacker cài mã độc thông qua kênh cập nhật chính thức.
Hiện đã xác nhận hai tên miền phát hành storewise.tech và vagueentertainment.com bị chiếm quyền theo cách này. Các ứng dụng bị chỉnh sửa thường giả dạng những ví tiền mã hóa nổi tiếng như Exodus, Ledger Live hoặc Trust Wallet, với giao diện gần như không thể phân biệt với bản chính thức.
Sau khi khởi chạy, ứng dụng sẽ kết nối tới máy chủ từ xa để kiểm tra mạng, rồi tiếp đó dụ người dùng nhập “cụm từ khôi phục ví” (seed phrase). Một khi người dùng cung cấp thông tin này, dữ liệu nhạy cảm sẽ lập tức được gửi về máy chủ của kẻ tấn công, dẫn đến việc tài sản bị đánh cắp. Do lợi dụng mối quan hệ tin cậy đã có từ trước, kiểu tấn công này thường thành công trước khi nạn nhân kịp phát hiện.
Mặc dù Canonical sẽ gỡ bỏ các ứng dụng độc hại sau khi nhận được báo cáo, nhưng theo Pope, việc xử lý thường chậm hơn tốc độ phát hiện, và các bản cập nhật chứa mã độc thường đã có đủ thời gian để gây hại cho người dùng trước khi bị gỡ xuống.
Trước tình hình này, các chuyên gia bảo mật đưa ra khuyến nghị hai chiều: đối với nhà phát triển, cần đảm bảo gia hạn tên miền đúng hạn và bật xác thực hai yếu tố (2FA) để khóa chặt quyền truy cập tài khoản; đối với người dùng phổ thông, đặc biệt là khi liên quan đến tài sản tiền mã hóa, nên từ bỏ thói quen cài ví qua cửa hàng ứng dụng, thay vào đó tải trực tiếp từ website chính thức của dự án để tránh rủi ro từ các cuộc tấn công chuỗi cung ứng.
Alan Pope – cựu nhân viên Canonical và là thành viên kỳ cựu của cộng đồng, đã đưa ra cảnh báo nghiêm trọng, cho biết Snap Store (cửa hàng ứng dụng Snap do Canonical, công ty đứng sau Ubuntu, vận hành) đang đối mặt với một kiểu tấn công chuỗi cung ứng mới.
Malware Peddlers Are Now Hijacking Snap Publisher Domains
tl;dr: There’s a relentless campaign by scammers to publish malware in the Canonical Snap Store. Some gets caught by automated filters, but plenty slips through. Recently, these miscreants have changed tactics - they’re now registering expired domains belonging to legitimate snap publishers...
blog.popey.com
Khi phát hiện một tên miền mục tiêu không còn hiệu lực, kẻ tấn công sẽ nhanh chóng đăng ký lại tên miền đó, sau đó dùng địa chỉ email thuộc tên miền này để kích hoạt chức năng đặt lại mật khẩu trên Snap Store, qua đó dễ dàng chiếm quyền kiểm soát tài khoản phát hành đã có uy tín lâu năm. Điều này đồng nghĩa với việc những phần mềm hợp pháp mà người dùng đã cài đặt và tin tưởng suốt nhiều năm có thể chỉ sau một đêm đã bị hacker cài mã độc thông qua kênh cập nhật chính thức.
Hiện đã xác nhận hai tên miền phát hành storewise.tech và vagueentertainment.com bị chiếm quyền theo cách này. Các ứng dụng bị chỉnh sửa thường giả dạng những ví tiền mã hóa nổi tiếng như Exodus, Ledger Live hoặc Trust Wallet, với giao diện gần như không thể phân biệt với bản chính thức.
Sau khi khởi chạy, ứng dụng sẽ kết nối tới máy chủ từ xa để kiểm tra mạng, rồi tiếp đó dụ người dùng nhập “cụm từ khôi phục ví” (seed phrase). Một khi người dùng cung cấp thông tin này, dữ liệu nhạy cảm sẽ lập tức được gửi về máy chủ của kẻ tấn công, dẫn đến việc tài sản bị đánh cắp. Do lợi dụng mối quan hệ tin cậy đã có từ trước, kiểu tấn công này thường thành công trước khi nạn nhân kịp phát hiện.
Mặc dù Canonical sẽ gỡ bỏ các ứng dụng độc hại sau khi nhận được báo cáo, nhưng theo Pope, việc xử lý thường chậm hơn tốc độ phát hiện, và các bản cập nhật chứa mã độc thường đã có đủ thời gian để gây hại cho người dùng trước khi bị gỡ xuống.
Trước tình hình này, các chuyên gia bảo mật đưa ra khuyến nghị hai chiều: đối với nhà phát triển, cần đảm bảo gia hạn tên miền đúng hạn và bật xác thực hai yếu tố (2FA) để khóa chặt quyền truy cập tài khoản; đối với người dùng phổ thông, đặc biệt là khi liên quan đến tài sản tiền mã hóa, nên từ bỏ thói quen cài ví qua cửa hàng ứng dụng, thay vào đó tải trực tiếp từ website chính thức của dự án để tránh rủi ro từ các cuộc tấn công chuỗi cung ứng.