Atacantes ressuscitam domínios e contas de email

Um grupo de cibercriminosos está registrando domínios web expirados para assumir o controle de servidores de e-mail, redefinir senhas de contas abandonadas de desenvolvedores e publicar malware na Canonical Snap Store, repositório de pacotes para Linux. A técnica, conhecida como ataque de ressurreição de domínio, já comprometeu pelo menos duas contas de desenvolvedores.

Grupo da Croácia mira usuários de criptomoedas

Os invasores sequestraram contas de pacotes Snap publicados usando endereços de e-mail dos domínios storewise.tech e vagueentertainment.com, explica Alan Pope, especialista em Linux e ex-desenvolvedor da Canonical. Segundo ele, o grupo responsável pela campanha está localizado na Croácia e tem como alvo principal proprietários de criptomoedas.

Os atacantes implantaram repetidamente carteiras digitais maliciosas na Snap Store na esperança de capturar senhas e frases de recuperação para esvaziar contas das vítimas. O grupo tem sido prolífico e lançou diversas campanhas contra usuários da Snap Store nos últimos dois anos, utilizando várias outras técnicas, como publicar pacotes com nomes semelhantes aos legítimos ou pacotes aparentemente benignos que se tornam maliciosos em atualizações subsequentes.

“O ângulo de tomada de domínio é particularmente preocupante porque mina um dos poucos sinais de confiança que os usuários tinham: a longevidade do publicador”, observa Pope. Ele acrescenta que a Canonical precisa resolver isso, seja monitorando a expiração de domínios em contas de publicadores, exigindo verificação adicional para contas que ficaram inativas, implementando autenticação de dois fatores obrigatória ou outra medida. “Não tenho todas as respostas, mas sei que a situação atual não é sustentável”, finaliza.

A Snap Store se junta ao GitHub, PyPI e npm como outros repositórios de pacotes que viram ataques de ressurreição de domínio contra seus usuários. À medida que a internet envelhece e os desenvolvedores mudam de emprego ou de provedor de e-mail, nem sempre atualizam todas as suas contas com um endereço mais recente.

Um estudo acadêmico de 2022 encontrou mais de 2.800 contas de desenvolvedores npm configuradas usando endereços de e-mail cujos domínios já haviam expirado. Em junho do ano passado, a equipe de segurança do Python removeu mais de 1.800 endereços de e-mail de contas de desenvolvedores que haviam expirado e estavam propensos a sequestro, forçando os desenvolvedores a reverificar seus e-mails com um domínio ativo no próximo login.