Alerta da Snap Store: Compreender o Ataque de Sequestro de Domínio que os Utilizadores de Linux Devem Conhecer

Os utilizadores de Linux enfrentam uma ameaça sofisticada na Snap Store que os investigadores de segurança estão a alertar a comunidade para estarem atentos. Segundo o CISO da SlowMist 23pds, surgiu um novo vetor de ataque onde hackers exploram domínios de desenvolvedor expirados para comprometer aplicações confiáveis. Este método é particularmente perigoso porque contorna as verificações de segurança tradicionais ao aproveitar a credibilidade estabelecida do editor, na qual os utilizadores confiaram durante anos.

Como os Atacantes Estão a Comprometer Contas de Desenvolvedor na Snap Store

O ataque começa com atores maliciosos a monitorizar contas de desenvolvedor cujos domínios associados expiraram. Assim que identificam um domínio inativo, registam-no rapidamente e usam o endereço de email do domínio recém-controlado para desencadear uma redefinição de palavra-passe na Snap Store. Esta técnica simples, mas eficaz, permite-lhes assumir a identidade de editores que construíram uma relação de confiança duradoura com os utilizadores. O resultado é devastador: aplicações legítimas que os utilizadores instalaram e confiaram durante anos podem ser infetadas com código malicioso durante a noite através do canal de atualização oficial, com a maioria dos utilizadores a permanecerem completamente alheios.

Já foram comprometidos dois casos confirmados usando este método: storewise[.]tech e vagueentertainment[.]com. Isto prova que o ataque não é teórico, mas que está a ocorrer ativamente no mundo real.

O Mecanismo de Roubo de Credenciais: Como São Roubadas as Frases de Recuperação da Sua Carteira

Assim que os atacantes ganham controlo de uma identidade de editor confiável, implementam uma carga útil de engenharia social sofisticada. As aplicações comprometidas disfarçam-se de carteiras de criptomoedas legítimas — normalmente imitando Exodus, Ledger Live ou Trust Wallet. As versões falsas são quase indistinguíveis das aplicações genuínas, tornando a deteção por utilizadores casuais extremamente difícil.

Quando os utilizadores lançam a aplicação maliciosa, ela primeiro estabelece uma ligação a um servidor remoto para realizar uma verificação de rede, criando uma sensação de normalidade. Depois, solicita aos utilizadores que insiram a sua “frase de recuperação da carteira” para fins de suposta restauração. No momento em que os utilizadores submetem esta informação crítica, ela é instantaneamente transmitida para o servidor do atacante, dando aos criminosos acesso completo aos seus ativos de criptomoedas.

O que torna este ataque particularmente eficaz é que explora relações de confiança existentes. Os utilizadores já descarregaram e instalaram voluntariamente a aplicação anteriormente, pelo que naturalmente esperam que seja legítima. Quando as vítimas percebem que os seus fundos foram roubados, os atacantes já transferiram os ativos.

Porque Deve Manter-se Atento a Estas Ameaças Emergentes

Este padrão de ataque representa uma vulnerabilidade fundamental na forma como os canais de distribuição de software gerem o ciclo de vida dos domínios. A dependência da Snap Store na verificação de identidade por email cria um ponto fraco crítico quando os desenvolvedores não renovam os seus domínios associados. Os investigadores de segurança enfatizam que os utilizadores precisam de compreender este vetor de ameaça, pois a consciência é a sua primeira linha de defesa.

A sofisticação não reside na hacking técnico, mas na exploração da própria infraestrutura de confiança. Mesmo utilizadores conscientes de segurança podem ser vítimas porque o ataque parece vir através de canais oficiais, com uma identidade de editor confiável intacta.

Como nota 23pds, o aspeto mais inquietante é a velocidade e escala com que o software legítimo pode ser transformado numa ferramenta de roubo de credenciais. O que ontem era uma aplicação de confiança, hoje torna-se numa ferramenta de roubo de credenciais através de uma única atualização.