Se descubre una vulnerabilidad de seguridad crítica: cómo los hackers explotan dominios caducados para robar criptomonedas a través de Snap Store

El 21 de enero, se descubrió una amenaza de seguridad significativa que afecta al mercado de aplicaciones Snap Store para sistemas Linux. Según informes del Director de Seguridad de la Información de SlowMist Technology, los atacantes han descubierto una vulnerabilidad crítica que les permite comprometer aplicaciones de monederos de criptomonedas y drenar los activos de los usuarios. Esta explotación por parte de hackers representa una cadena de ataques sofisticada que apunta a uno de los canales de distribución de software más utilizados en Linux.

Cómo los atacantes explotaron la vulnerabilidad de expiración de dominio para secuestrar cuentas de publicadores

La metodología del ataque implica un proceso de múltiples pasos que aprovecha las lapsos en el registro de dominios. Los investigadores de seguridad identificaron que los hackers monitoreaban sistemáticamente las cuentas de desarrolladores en Snap Store cuyos dominios asociados habían expirado. Una vez identificado un objetivo elegible, los atacantes registraron los mismos nombres de dominio y usaron las direcciones de correo electrónico vinculadas a estos registros para iniciar restablecimientos de contraseña de las cuentas. Al tomar control del correo electrónico asociado con el dominio expirado, los atacantes lograron hacerse con las cuentas de publicadores que habían establecido historias de reputación significativas en la plataforma.

Los dominios de publicadores comprometidos confirmados hasta ahora incluyen storewise.tech y vagueentertainment.com. Estas cuentas, ahora bajo control del atacante, fueron posteriormente utilizadas para distribuir aplicaciones maliciosas.

Monederos de criptomonedas bajo amenaza: la estrategia de disfraz de malware

Las cuentas de publicadores secuestradas se aprovecharon para distribuir versiones falsificadas de aplicaciones populares de monederos de criptomonedas. Las aplicaciones maliciosas imitaban a monederos legítimos conocidos, incluyendo Exodus, Ledger Live y Trust Wallet. Las interfaces de usuario estaban diseñadas para ser casi idénticas a las originales, dificultando mucho la detección por parte de usuarios casuales.

Una vez instaladas, estas aplicaciones comprometidas emplean un aviso engañoso que solicita a los usuarios ingresar su “frase mnemónica de recuperación del monedero”, una información altamente sensible que otorga acceso completo a las tenencias de criptomonedas. Cuando los usuarios envían sin saberlo estos datos de recuperación, se transmiten directamente a los servidores de comando de los atacantes. Esto resulta en un acceso no autorizado inmediato a los activos digitales de las víctimas y en la pérdida total de fondos.

Implicaciones de seguridad y medidas de protección

Este incidente resalta una brecha de seguridad crítica en la forma en que los mercados de aplicaciones manejan la verificación de dominios para las cuentas de publicadores. Los equipos de seguridad recomiendan ahora que los desarrolladores mantengan registros activos de dominios y apliquen capas adicionales de autenticación para los procesos de recuperación de cuentas. Los usuarios deben verificar las aplicaciones de monederos a través de los sitios web oficiales del proyecto y ser cautelosos ante cualquier solicitud de frases de recuperación; los desarrolladores legítimos de monederos nunca solicitan esta información a través de sus aplicaciones.

El ecosistema de hackers en general ha demostrado una creciente sofisticación en la orientación al sector de las criptomonedas mediante compromisos en la cadena de suministro y ataques de ingeniería social basados en dominios.