Аналітики з кібербезпеки зафіксували новий вектор атак на криптокористувачів у середовищі Linux. За словами керівника з інформаційної безпеки SlowMist, відомого під ніком 23pds, зловмисники експлуатують довіру до офіційного магазину застосунків Snap Store.
Відомо, що у межах цієї кампанії кіберзлочинці реєструють прострочені домени, які раніше були пов’язані з обліковими записами розробників у Snap Store. Отримавши контроль над такими доменами, атакувальники фактично перехоплюють доступ до акаунтів із напрацьованою репутацією та активною базою користувачів.
Після цього вони використовують легітимні канали розповсюдження Snap Store для публікації оновлень. Для користувачів ці апдейти виглядають як звичайні та безпечні, оскільки надходять з офіційного джерела й стосуються вже встановлених застосунків.
Водночас, компрометовані програми маскуються під відомі криптогаманці, зокрема Exodus, Ledger Live і Trust Wallet. Після встановлення або оновлення такі застосунки пропонують користувачам «відновити доступ» до гаманця, ввівши мнемонічну (сід-) фразу.
Насправді ж введені дані негайно передаються зловмисникам, що дає їм повний контроль над коштами жертви. У SlowMist підтвердили, що в межах цієї схеми вже були скомпрометовані щонайменше два домени: storewise[.]tech і vagueentertainment[.]com.
Експерти зазначають, що цей випадок ілюструє ширший тренд у кіберзагрозах для криптоіндустрії. Замість прямих атак на смартконтракти або блокчейн-протоколи зловмисники дедалі частіше націлюються на інфраструктуру, ланцюжки постачання та офіційні канали поширення програмного забезпечення.
Ключовим фактором успіху таких атак стає довіра користувачів до відомих платформ і магазинів застосунків, які традиційно сприймаються як безпечні.
