La empresa de seguridad de la blockchain SlowMist alertó sobre un nuevo vector de ataque basado en Linux que explota aplicaciones de confianza distribuidas a través de la Snap Store para robar las frases semilla de recuperación de criptoactivos de los usuarios.
En una publicación en X, el director de seguridad de la información de SlowMist, 23pds, dijo que los atacantes están abusando de dominios caducados para secuestrar cuentas de editores antiguos de Snap Store y distribuir actualizaciones maliciosas a través de canales oficiales.
Según se informa, las aplicaciones comprometidas suplantan la identidad de monederos de criptoactivos populares, incluidos Exodus, Ledger Live y Trust Wallet, utilizando interfaces que se asemejan mucho al software legítimo.
Una vez instaladas o actualizadas, las aplicaciones maliciosas solicitan a los usuarios que ingresen las frases de recuperación de monederos, lo que permite a los atacantes exfiltrar las credenciales y drenar los fondos sin que los usuarios se den cuenta del compromiso.
Los atacantes utilizan dominios caducados para secuestrar a editores de Snap Store
La Snap Store es la tienda de aplicaciones oficial de Linux utilizada para distribuir software empaquetado en un formato llamado "snaps". Se considera comúnmente el equivalente de la App Store de Apple en macOS y la Microsoft Store en Windows para Linux.
SlowMist dijo que el ataque se basa en la monitorización de cuentas de desarrolladores de Snap Store vinculadas a dominios que han caducado pero que anteriormente estaban asociados con editores legítimos.
Una vez que un dominio caduca, los atacantes pueden volver a registrarlo y utilizar direcciones de correo electrónico vinculadas al dominio para restablecer las credenciales de la cuenta de Snap Store.
El ejecutivo de SlowMist dijo que el proceso permite a los atacantes tomar el control silenciosamente de cuentas de editores establecidas con historiales de descarga existentes y usuarios activos. A partir de ahí, el código malicioso puede ser insertado a través de actualizaciones de software rutinarias en lugar de nuevas instalaciones.
SlowMist confirmó que dos dominios de editores, a saber, "storewise[.]tech" y "vagueentertainment[.]com", han sido comprometidos utilizando el vector de ataque. Según se informa, las aplicaciones vinculadas a las cuentas fueron modificadas para suplantar la identidad de monederos de criptoactivos conocidos.
Los ataques a la cadena de suministro aumentan a medida que los exploits de criptoactivos se vuelven más sofisticados
El vector de ataque de Snap Store se alinea con un cambio más amplio en las amenazas relacionadas con criptoactivos, donde los atacantes se dirigen cada vez más a la infraestructura y los canales de distribución en lugar del código de contratos inteligentes.
Los datos de CertiK compartidos con Cointelegraph en diciembre mostraron que las pérdidas totales por hackeos de criptoactivos alcanzaron 3.300 millones de dólares en 2023, a pesar de una fuerte caída en el número de incidentes individuales.
CertiK dijo que las pérdidas se concentraron en menos ataques a la cadena de suministro, pero más perjudiciales, los cuales representaron 1.450 millones de dólares en pérdidas en solo dos incidentes.
La tendencia sugiere que, a medida que mejora la seguridad a nivel de protocolo, los atacantes se están inclinando hacia tácticas de mayor impacto que explotan las relaciones de confianza, las actualizaciones de software y la infraestructura de terceros.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
