Эксперты обнаружили серию скоординированных DNS-атак, направленных на криптовалютные DeFi-платформы, размещающие свои домены у Squarespace.
Злоумышленники перенаправляют посетителей этих ресурсов на фишинговые сайты, которые похищают криптовалюту.
В конце прошлой недели сразу несколько криптоплатформ, включая , , и , предупредили о том, что DNS-записи их доменов изменены, и теперь сайты перенаправляют пользователей на фишинговые ресурсы, которые похищают криптовалюту и NFT с подключенных к ним кошельков. Все эти домены объединяло то, что у них был общий регистратор — Squarespace.
Представители Compound Finance писали, что основной домен проекта захвачен фишерами и предупреждали пользователей, чтобы те не посещали сайт, предложив вместо него безопасную альтернативу. Также всем, кто взаимодействовал с dApps Compound, рекомендовали как можно скорее отозвать доступ.
В Celer Network сообщали, что тоже стали жертвой DNS-атаки. Однако, согласно заявлению компании, ее специалисты пресекли эту попытку и быстро восстановили DNS-записи.
В Pendle и Unstoppable Domains столкнулись с аналогичными проблемами, из-за чего компании рекомендовали пользователям немедленно отозвать одобрение смарт-контрактов и очистить кеш браузера.
Все пострадавшие платформы заверили пользователей, что эти DNS-атаки не были связаны с компрометацией их протоколов или систем, а средства пользователей находятся в безопасности. Впрочем, это не относится к тем, кто успел ввести свои данные на фишинговых сайтах. Этим пользователям необходимо срочно отозвать все одобрения, связанные со смарт-контрактами, сменить пароли и перевести средства на другие кошельки.
Как выясняется теперь, все пострадавшие домены были изначально зарегистрированы через Google Domains. Но летом 2023 года компания Squarespace приобрела Google Domains и начала переводить бывших клиентов Google на свою инфраструктуру в июне 2024 года.
Судя по всему, корень проблемы кроется в том, что в рамках миграции на Squarespace в учетных записях была отключена многофакторная аутентификация (МФА), чтобы предотвратить случайную блокировку учетных записей администраторов. Служба поддержки Squarespace владельцев доменов Google Domains о необходимости включить МФА чтобы обеспечить дополнительную защиту своих доменов.
Согласно изначальной теории ИБ-специалистов из , хакеры узнали об отключении МФА и воспользовались ситуацией. Они могли использовать украденные или случайно попавшие в открытый доступ учетные данные для доступа к аккаунтам администраторов и последующего изменения записей DNS, что позволило скомпрометировать сайты и частные почтовые серверы.
Однако теперь, спустя несколько дней, исследователи выдвинули новую версию: злоумышленники могли обнаружить ошибку в методе, который Squarespace использовала для переноса данных клиентов Google Domains на свои серверы, что позволило хакерам подобрать email-адреса, связанные с учетными записями администраторов, и зарегистрировать аккаунты на себя.
Согласно отчету исследователей, Squarespace предварительно зарегистрировала ряд email-адресов, которые нужно было назначить администраторами домена после переноса, не проверяя, существуют ли эти аккаунты. Для этого использовались две категории адресов: email-адреса, связанные с оригинальным аккаунтом Google Domains, и адреса всех контрибьюторов, связанных с конкретным доменом.
Специалисты уже составили связанных с криптовалютами доменов, которые размещены на Squarespace. Пользователям не рекомендуется заходить на эти сайты, пока их администраторы не подтвердят, что они защитили свои домены и включили МФА для учетных записей Squarespace.
Также исследователи предупреждают, что злоумышленники могут попытаться использовать захваченные домены для развития атак и перехода в другие системы внутри организаций. К примеру, уже были замечены случаи, когда хакеры создавали новые учетные записи администраторов Google Workspace и регистрировали в них новые устройства и браузеры.
ИБ-компания Blockaid, которая одной из первых заметила эти DNS-атаки, , что хакеры, похоже, пытаются зайти дальше и создают фишинговую инфраструктуру для различных брендов, включая скомпрометированные.
Хотя в настоящее время атаки направлены только на сайты криптовалютной тематики, аналогичная проблема угрожает и всем остальным владельцам сайтов на бывшем Google Domains.
Представители Squarespace до сих пор не сделали никаких официальных заявлений о ситуации.
Злоумышленники перенаправляют посетителей этих ресурсов на фишинговые сайты, которые похищают криптовалюту.
В конце прошлой недели сразу несколько криптоплатформ, включая , , и , предупредили о том, что DNS-записи их доменов изменены, и теперь сайты перенаправляют пользователей на фишинговые ресурсы, которые похищают криптовалюту и NFT с подключенных к ним кошельков. Все эти домены объединяло то, что у них был общий регистратор — Squarespace.
Представители Compound Finance писали, что основной домен проекта захвачен фишерами и предупреждали пользователей, чтобы те не посещали сайт, предложив вместо него безопасную альтернативу. Также всем, кто взаимодействовал с dApps Compound, рекомендовали как можно скорее отозвать доступ.
В Celer Network сообщали, что тоже стали жертвой DNS-атаки. Однако, согласно заявлению компании, ее специалисты пресекли эту попытку и быстро восстановили DNS-записи.
В Pendle и Unstoppable Domains столкнулись с аналогичными проблемами, из-за чего компании рекомендовали пользователям немедленно отозвать одобрение смарт-контрактов и очистить кеш браузера.
Все пострадавшие платформы заверили пользователей, что эти DNS-атаки не были связаны с компрометацией их протоколов или систем, а средства пользователей находятся в безопасности. Впрочем, это не относится к тем, кто успел ввести свои данные на фишинговых сайтах. Этим пользователям необходимо срочно отозвать все одобрения, связанные со смарт-контрактами, сменить пароли и перевести средства на другие кошельки.
Как выясняется теперь, все пострадавшие домены были изначально зарегистрированы через Google Domains. Но летом 2023 года компания Squarespace приобрела Google Domains и начала переводить бывших клиентов Google на свою инфраструктуру в июне 2024 года.
Судя по всему, корень проблемы кроется в том, что в рамках миграции на Squarespace в учетных записях была отключена многофакторная аутентификация (МФА), чтобы предотвратить случайную блокировку учетных записей администраторов. Служба поддержки Squarespace владельцев доменов Google Domains о необходимости включить МФА чтобы обеспечить дополнительную защиту своих доменов.
Согласно изначальной теории ИБ-специалистов из , хакеры узнали об отключении МФА и воспользовались ситуацией. Они могли использовать украденные или случайно попавшие в открытый доступ учетные данные для доступа к аккаунтам администраторов и последующего изменения записей DNS, что позволило скомпрометировать сайты и частные почтовые серверы.
Однако теперь, спустя несколько дней, исследователи выдвинули новую версию: злоумышленники могли обнаружить ошибку в методе, который Squarespace использовала для переноса данных клиентов Google Domains на свои серверы, что позволило хакерам подобрать email-адреса, связанные с учетными записями администраторов, и зарегистрировать аккаунты на себя.
Согласно отчету исследователей, Squarespace предварительно зарегистрировала ряд email-адресов, которые нужно было назначить администраторами домена после переноса, не проверяя, существуют ли эти аккаунты. Для этого использовались две категории адресов: email-адреса, связанные с оригинальным аккаунтом Google Domains, и адреса всех контрибьюторов, связанных с конкретным доменом.
Специалисты уже составили связанных с криптовалютами доменов, которые размещены на Squarespace. Пользователям не рекомендуется заходить на эти сайты, пока их администраторы не подтвердят, что они защитили свои домены и включили МФА для учетных записей Squarespace.
Также исследователи предупреждают, что злоумышленники могут попытаться использовать захваченные домены для развития атак и перехода в другие системы внутри организаций. К примеру, уже были замечены случаи, когда хакеры создавали новые учетные записи администраторов Google Workspace и регистрировали в них новые устройства и браузеры.
ИБ-компания Blockaid, которая одной из первых заметила эти DNS-атаки, , что хакеры, похоже, пытаются зайти дальше и создают фишинговую инфраструктуру для различных брендов, включая скомпрометированные.
Хотя в настоящее время атаки направлены только на сайты криптовалютной тематики, аналогичная проблема угрожает и всем остальным владельцам сайтов на бывшем Google Domains.
Представители Squarespace до сих пор не сделали никаких официальных заявлений о ситуации.
