Uma onda de ataques coordenados de DNS hijacking visa domínios de criptomoedas de finanças descentralizadas (DeFi) utilizando o registrador Squarespace, redirecionando visitantes para sites de phishing que hospedam drenadores de carteira.
DNS hijacking acontece quando um atacante modifica os registros do Domain Name System de um alvo para redirecionar o tráfego de um site legítimo para um sob seu controle, como páginas de phishing.
Esses ataques são geralmente realizados comprometendo um servidor DNS ou a conta do alvo em um provedor de serviços DNS e fazendo alterações nos registros DNS.
Ontem, várias plataformas DeFi alertaram que seus domínios de site estavam redirecionando usuários para sites de phishing que utilizavam drenadores de carteira para roubar criptomoedas e NFTs de carteiras conectadas.
Todos esses domínios compartilhavam um registrador comum, Squarespace.
A plataforma DeFi Compound Finance alertou ontem que seu domínio principal havia sido assumido para exibir uma página de phishing.
A plataforma alertou os usuários para não visitarem seu site e forneceu uma alternativa segura em vez disso.
Também aconselhou qualquer pessoa que interagiu com dApps da Compound a revogar o acesso.
Celer Network, uma plataforma focada em soluções de escalonamento de camada 2 para aplicações blockchain, também anunciou que foi alvo de DNS hijacking.
No entanto, diz que interceptou a tentativa e recuperou rapidamente seus registros DNS.
"Nossa investigação contínua indica que o vetor de ataque provavelmente envolveu terceiros além do nosso controle", declarou o Celer no X.
Por fim, Pendle, um protocolo DeFi para negociação de rendimentos futuros tokenizados, enfrentou problemas semelhantes.
Aconselhou os usuários a revogarem imediatamente as aprovações para seus contratos inteligentes e limpar o cache do navegador para garantir que não estivessem sendo redirecionados para outros lugares.
Todas as três plataformas asseguraram aos usuários que esses DNS hijacks não comprometeram seus protocolos e que os fundos das pessoas estavam seguros.
Ainda assim, aqueles que inseriram detalhes nos sites de phishing precisam tomar ações imediatas para mitigar os riscos, incluindo revogar aprovações de contratos inteligentes, mudar senhas e transferir fundos para uma nova carteira.
Hoje, a Unstoppable Domains também relatou que seus domínios foram sequestrados e que estavam tendo problemas para entrar em contato com a SquareSpace para resolver a questão.
Embora a causa exata do comprometimento ainda não tenha sido determinada, os domínios comprometidos foram todos originalmente registrados no Google Domains, que foram posteriormente transferidos à força para o Squarespace em 2023 como parte de um acordo de compra de ativos com o Google.
Desde então, o Squarespace começou a migrar domínios para seu serviço, e os domínios recentemente comprometidos agora estão registrados na empresa.
"Para contexto - o Squarespace comprou todos os registros de domínio e contas de clientes relacionadas do Google Domains em junho de 2023, o que forçou a migração dos domínios", tuitou Pendle.
Recentemente, atacantes exploraram uma vulnerabilidade no Squarespace, sequestrando domínios hospedados em sua plataforma.
Especialistas em segurança ainda estão trabalhando para entender o mecanismo exato dos ataques de sequestro, mas muitos domínios (incluindo os da Pendle) que foram migrados do Google para o Squarespace foram afetados.
No entanto, como parte da transição para o Squarespace, a autenticação de múltiplos fatores foi desativada nas contas.
Um tópico de suporte do Squarespace sobre a migração do Google Domains advertiu os proprietários de domínios a habilitar a autenticação de múltiplos fatores para melhorar a segurança dos domínios.
Ainda não está claro como os atores de ameaças estão sequestrando domínios, mas um relatório de pesquisadores de segurança cripto Samczsun, Taylor Monahan e Andrew Mohawk indica que poderia estar relacionado à desativação da autenticação de múltiplos fatores durante o processo de migração e criação automática de contas para usuários associados aos domínios.
Clientes que assinaram o Google Workspace através do Google Domains teriam tido seu serviço migrado para o Squarespace, que também é um revendedor do Workspace.
Os pesquisadores acreditam que os atores de ameaças estão utilizando o acesso do revendedor e contas recém-criadas para criar novas contas ou inquilinos do Workspace associados aos domínios.
Outros clientes do Squarespace também relataram receber e-mails suspeitos de redefinição de senha, o que pode indicar que esse é um ataque mais amplo às credenciais das contas do Squarespace.
Pesquisadores compilaram uma lista de domínios de projetos relacionados a criptomoeda e DeFi gerenciados pelo Squarespace que podem ter sido afetados.
Recomenda-se que as pessoas mantenham vigilância ao interagir com essas plataformas até que a situação seja esclarecida.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...