O serie de atacuri coordonate de DNS hijacking vizează domeniile criptomonedelor din finanțele decentralizate (DeFi) folosind registrul Squarespace, redirecționând vizitatorii către site-uri de pescuit care găzduiesc furturi de portofele.
DNS hijacking este atunci când un atacator modifică înregistrările sistemului de nume de domeniu ale unei ținte pentru a redirecționa traficul de pe un site web legitim către unul aflat sub controlul său, cum ar fi pagini de pescuit. Aceste atacuri se fac în mod obișnuit compromițând un server DNS sau contul țintei la un furnizor de servicii DNS și făcând modificări la înregistrările DNS.
Ieri, numeroase platforme DeFi au avertizat că domeniile site-urilor lor redirecționează utilizatorii către site-uri de pescuit care utilizează furturi de portofele pentru a fura criptomonede și NFT-uri din portofelele conectate. Toate aceste domenii aveau în comun un registrar, Squarespace.
Platforma DeFi Compound Finance a avertizat ieri că domeniul său principal a fost preluat pentru a afișa o pagină de pescuit.
Platforma a avertizat utilizatorii să nu viziteze site-ul său și a furnizat în schimb o alternativă securizată. De asemenea, a sfătuit pe oricine a interacționat cu aplicațiile Compound să-și revoke accesul.
Celer Network, o platformă axată pe soluții de scalare de nivel 2 pentru aplicațiile blockchain, a anunțat, de asemenea, că a fost vizată de DNS hijacking. Cu toate acestea, aceasta spune că a interceptat încercarea și și-a recuperat rapid înregistrările DNS.
„Investigația noastră în desfășurare indică faptul că vectorul de atac probabil a implicat terțe părți dincolo de controlul nostru”, a declarat Celer pe X.
În cele din urmă, Pendle, un protocol DeFi pentru tranzacționarea randamentelor viitoare tokenizate, a avut probleme similare. A sfătuit utilizatorii să-și revoce aprobările pentru contractele sale inteligente imediat și să-și șteargă memoria cache a browserului pentru a se asigura că nu sunt redirecționați către altundeva.
Toate cele trei platforme au asigurat utilizatorii că aceste atacuri DNS nu au compromis protocoalele lor și că fondurile oamenilor sunt în siguranță.
Cu toate acestea, cei care au introdus detalii pe site-urile de pescuit trebuie să ia măsuri imediate pentru a reduce riscurile, inclusiv revocarea aprobărilor pentru contractele inteligente, schimbarea parolelor și transferarea fondurilor către un portofel nou.
Astăzi, Unstoppable Domains a raportat, de asemenea, că domeniile lor au fost deturnate și că au avut probleme în contactarea SquareSpace pentru a rezolva problema.
Deși cauza exactă a compromiterii nu a fost încă determinată, domeniile compromise au fost toate inițial înregistrate la Google Domains, care au fost ulterior transferate forțat la Squarespace în 2023 ca parte a unui acord de achiziție a activelor cu Google.
De atunci, Squarespace a început să migreze domeniile la serviciul său, iar domeniile recent compromise sunt acum înregistrate la companie.
„În context – Squarespace a achiziționat toate înregistrările de domenii și conturile de clienți asociate de la Google Domains în iunie 2023, ceea ce a dus la migrarea domeniilor”, a scris Pendle pe Twitter.
„Recent, atacatorii au exploatat o vulnerabilitate în Squarespace, deturnând domenii găzduite pe platforma lor. Experții în securitate încă lucrează la mecanismul exact al atacurilor de deturnare, dar multe domenii (inclusiv cele ale Pendle) care au fost migrații de la Google la Squarespace au fost afectate.”
Cu toate acestea, ca parte a tranziției către Squarespace, autentificarea cu factori multipli a fost dezactivată pe conturi. Un subiect de suport Squarespace despre migrația de la Google Domains a avertizat proprietarii de domenii să activeze autentificarea cu factori multipli pentru a-și securiza în continuare domeniile.
Nu este clar cum atacatorii deturnează domeniile, dar un raport al cercetătorilor de securitate criptografică Samczsun, Taylor Monahan și Andrew Mohawk indică faptul că aceasta ar putea fi legată de dezactivarea autentificării cu factori multipli în timpul procesului de migrație și de crearea automată a conturilor pentru utilizatorii asociați cu domeniile.
Clienții care s-au abonat la Google Workspace prin intermediul Google Domains ar fi avut serviciul lor migrat către Squarespace, care este și un revânzător Workspace. Cercetătorii cred că atacatorii folosesc accesul revânzătorului și conturile nou create pentru utilizatorii asociați cu domeniile pentru a crea noi conturi sau chiriași Workspace asociați cu domeniile.
Alți clienți Squarespace au raportat, de asemenea, că au primit e-mailuri suspecte pentru resetarea parolelor, ceea ce ar putea indica faptul că aceasta este o atacare mai largă de acreditare a conturilor SquareSpace.
Cercetătorii au compilat o listă de domenii ale proiectelor criptografice și DeFi gestionate de Squarespace care ar fi putut fi afectate. Se recomandă oamenilor să fie vigilenți atunci când interacționează cu acele platforme până când situația se clarifică.
BleepingComputer a contactat Squarespace pentru un comentariu cu privire la situație, dar încă așteptăm un răspuns.
Violarea listei de corespondență Ethereum expune 35.000 de persoane la un atac de drenaj de criptomonede
Phishingul Free Piano vizează studenții și personalul universităților americane
Garantia Huione expusă ca o piață de 11 miliarde de dolari pentru criminalitatea cibernetică
Malware-ul ViperSoftX rulează în mod discret PowerShell folosind scriptarea AutoIT
Cloudflare pune recenta cădere de serviciu pe seama incidentului de deturnare BGP
Leave a Reply