Die chinesische Sicherheitsfirma SlowMist warnt vor einer perfiden Angriffsmethode auf den Linux Snap Store. Angreifer zielen darauf ab, Krypto-Wallet-Nutzer zu bestehlen, indem sie vertrauenswürdige Entwicklerkonten kapern und manipulierte Anwendungen verbreiten, die legitimen Wallets zum Verwechseln ähnlich sehen. Diese Masche nutzt aus, dass Nutzer ihren Seed-Phrasen vertrauen, die eigentlich nur offline preisgegeben werden sollten.
Die Sicherheitsforscher von SlowMist haben eine ausgeklügelte Betrugsmasche aufgedeckt, die auf den Linux Snap Store abzielt. Cyberkriminelle machen sich eine Schwachstelle im System zur Kontoverwaltung zunutze, um die Kontrolle über legitime Entwicklerkonten zu erlangen. Dies ermöglicht es ihnen, gefälschte Versionen beliebter Kryptowährungs-Wallets wie Exodus, Ledger Live und Trust Wallet über den offiziellen Kanal zu verbreiten.
Der Angriff beginnt damit, dass die Angreifer abgelaufene Domains von Snap Store-Entwicklern ins Visier nehmen. Sobald eine Domain frei wird, registrieren die Kriminellen diese neu. Anschließend nutzen sie die zugehörige E-Mail-Adresse, um eine Passwortrücksetzung für das Entwicklerkonto durchzuführen und so die Kontrolle über die über Jahre aufgebaute Vertrauens-Identität zu erlangen. Die manipulierten Anwendungen sind optisch kaum von den Originalen zu unterscheiden.
Die gefälschten Apps fordern Nutzer nach einer vermeintlichen „Netzwerküberprüfung“ auf, ihre sensiblen Wallet-Wiederherstellungsphrasen einzugeben. Diese Daten werden direkt an die Server der Angreifer gesendet.
Mindestens zwei Publisher-Domains, `storewise.tech` und `vagueentertainment.com`, wurden nachweislich auf diese Weise kompromittiert. Ein besonders drastischer Fall dokumentiert den Verlust von neun Bitcoins, damals im Wert von rund 490.000 US-Dollar, durch die Installation einer gefälschten Exodus-Wallet.
Canonical, das Unternehmen hinter Ubuntu und dem Snap Store, hat als Reaktion auf diese Sicherheitslücke mehrere Maßnahmen ergriffen. Dazu gehören die Einführung manueller Überprüfungen für alle neuen Snap-Registrierungen und eine vorübergehende Ablehnung von kryptowährungsbezogenen Anwendungen. Ziel ist es, den Diebstahl von Anmeldedaten durch betrügerische Apps einzudämmen.
Da der Angriff bestehende Vertrauensbeziehungen zu offiziellen Publishern ausnutzt, bemerken Opfer den Diebstahl oft erst, nachdem ihre Gelder bereits entwendet wurden.
