Benutzer von Linux-Snaps werden gewarnt, da Angreifer Malware über alte vertrauenswürdige Anwendungen verbreiten
Eine neue Betrugskampagne im Snap Store missbraucht abgelaufene Publisher-Domains, um Vertrauenssignale zu umgehen und bösartige App-Updates zu verbreiten.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Snap Store, ein zentrales Anwendungs-Repository für die Verteilung von Snap-Paketen, das von Canonical betrieben wird, ermöglicht es Entwicklern, Anwendungen mit relativ geringen Einstiegshürden zu veröffentlichen, während Benutzer Software automatisch über einen einzigen vertrauenswürdigen Kanal installieren und aktualisieren können. Dieses Vertrauen ist jedoch derzeit auf einer Probe gestellt.
In einem Blogbeitrag warnt Alan Pope, eine langjährige Persönlichkeit der Ubuntu-Community und ehemaliger Mitarbeiter von Canonical, der nach wie vor als aktiver Snap-Publisher tätig ist und fast 50 Snaps mit Tausenden von Benutzern verwaltet, vor einem besorgniserregenden Trend, der Snap-Pakete betrifft. Hier erfahren Sie, worum es dabei geht.
Seit mehr als einem Jahr dokumentieren Pope und andere Sicherheitsexperten eine anhaltende Kampagne mit bösartigen Snaps, die sich als Kryptowährungs-Wallet-Anwendungen ausgeben. Diese gefälschten Apps ahmen in der Regel bekannte Projekte wie Exodus, Ledger Live oder Trust Wallet nach und fordern die Nutzer auf, Wallet-Wiederherstellungsphrasen einzugeben, die dann an Angreifer übertragen werden, was zum Abfluss von Geldern führt.
Frühere Versionen der Kampagne basierten auf neu erstellten Publisher-Konten und optisch überzeugenden Storefront-Seiten. Laut Pope stellt die jüngste Veränderung jedoch eine erhebliche Eskalation dar.
Anstatt neue Konten zu erstellen, überwachen Angreifer nun den Snap Store nach Publishern, deren zugehörige Domainnamen abgelaufen sind. Sobald eine Domain verfällt, registrieren die Angreifer sie selbst, lösen eine Passwortzurücksetzung für das mit dieser Domain verknüpfte Snap Store-Konto aus und erlangen die Kontrolle über eine etablierte Publisher-Identität. Von dort aus können sie bösartige Updates an Snaps senden, denen Nutzer möglicherweise vor Jahren vertraut und sie installiert haben.
Pope hat mindestens zwei Publisher-Domains identifiziert, genauer gesagt storewise.tech und vagueentertainment.com, die mit dieser Methode übernommen wurden. In beiden Fällen wurden zuvor harmlose Snaps aktualisiert, um Malware zum Diebstahl von Wallets einzuschleusen, ohne dass sich die Identität oder Reputation des Publishers offensichtlich verändert hätte.
Die Analyse der bösartigen Snaps zeigt ein wiederkehrendes Muster. Die Anwendungen rendern eine webbasierte Oberfläche, die der legitimen Wallet-Software sehr ähnlich sieht. Beim Start versuchen sie, eine Verbindung zu einem Remote-Endpunkt herzustellen, um die Netzwerkkonnektivität zu überprüfen, bevor sie fortfahren.
Wenn ein Benutzer eine Wiederherstellungsphrase eingibt, wird diese sofort an die Server der Angreifer übertragen. Bis die Täuschung offensichtlich wird, ist der Inhalt der Wallet in der Regel bereits verschwunden.
Natürlich hat Canonical gemeldete bösartige Snaps entfernt, aber Pope merkt an, dass die Durchsetzung oft hinter der Entdeckung zurückbleibt, sodass bösartige Updates lange genug verfügbar bleiben, um Nutzer zu beeinträchtigen.
In der Zwischenzeit wird Snap-Herausgebern empfohlen, ihre Domain-Registrierungen auf dem neuesten Stand zu halten und die Zwei-Faktor-Authentifizierung zu aktivieren. Gleichzeitig werden Nutzer dringend gebeten, die Installation von Kryptowährungs-Wallet-Anwendungen aus App-Stores ganz zu vermeiden und diese stattdessen direkt von den offiziellen Projekt-Websites zu beziehen.
Comments