Falha de Segurança Crítica Descoberta: Como Hackers Exploram Domínios Expirados para Roubar Criptomoedas Através da Snap Store

Em 21 de janeiro, foi descoberto uma ameaça de segurança significativa que afeta o marketplace de aplicações Snap Store para sistemas Linux. De acordo com relatos do Diretor de Segurança da Informação da SlowMist Technology, os atacantes descobriram uma vulnerabilidade crítica que lhes permite comprometer aplicações de carteiras de criptomoedas e esvaziar os ativos dos utilizadores. Esta exploração por hackers representa uma cadeia de ataque sofisticada que visa um dos canais de distribuição de software mais utilizados no Linux.

Como os Atacantes Exploram a Vulnerabilidade de Expiração de Domínio para Sequestrar Contas de Editores

A metodologia de ataque envolve um processo de múltiplas etapas que aproveita lapsos no registo de domínios. Os investigadores de segurança identificaram que os hackers monitoravam sistematicamente contas de desenvolvedores no Snap Store cujos domínios associados tinham expirado. Assim que um alvo elegível era identificado, os atacantes registavam os mesmos nomes de domínio e usavam os endereços de email ligados a esses registos para iniciar redefinições de senha de contas. Ao obter controlo do email associado ao domínio expirado, os atacantes conseguiam assumir contas de editores que tinham estabelecido reputações significativas na plataforma.

Os domínios de editores comprometidos confirmados até agora incluem storewise.tech e vagueentertainment.com. Essas contas, agora sob controlo dos atacantes, foram posteriormente usadas para distribuir aplicações maliciosas.

Carteiras de Criptomoedas Sob Ameaça: A Estratégia de Disfarce de Malware

As contas de editores sequestradas foram utilizadas para distribuir versões falsificadas de aplicações populares de carteiras de criptomoedas. As aplicações maliciosas imitavam carteiras legítimas conhecidas, incluindo Exodus, Ledger Live e Trust Wallet. As interfaces de utilizador foram desenhadas para serem quase idênticas às originais, dificultando a deteção por utilizadores casuais.

Após a instalação, essas aplicações comprometidas empregam um aviso enganoso que solicita aos utilizadores que insiram a sua “frase mnemónica de recuperação da carteira” — uma informação altamente sensível que concede acesso completo às holdings de criptomoedas. Quando os utilizadores submetem inadvertidamente esses dados de recuperação, eles são transmitidos diretamente para os servidores de comando dos atacantes. Isso resulta em acesso não autorizado imediato aos ativos digitais das vítimas e na perda total de fundos.

Implicações de Segurança e Medidas de Proteção

Este incidente destaca uma lacuna de segurança crítica na forma como os marketplaces de aplicações lidam com a verificação de domínios para contas de editores. As equipas de segurança agora recomendam que os desenvolvedores mantenham registos ativos de domínios e implementem camadas adicionais de autenticação nos processos de recuperação de contas. Os utilizadores devem verificar as aplicações de carteiras através dos sites oficiais dos projetos e ter cuidado com qualquer pedido de frases de recuperação — os desenvolvedores legítimos de carteiras nunca solicitam essa informação através das suas aplicações.

O ecossistema mais amplo de hackers tem demonstrado uma crescente sofisticação ao visar o setor de criptomoedas através de compromissos na cadeia de fornecimento e ataques de engenharia social baseados em domínios.