Los secuestros de DNS tienen como objetivo las plataformas de criptomonedas registradas en Squarespace
Una ola de ataques coordinados de secuestro de DNS tiene como objetivo los dominios de criptomonedas de finanzas descentralizadas (DeFi) que utilizan el registrador Squarespace, redirigiendo a los visitantes a sitios de phishing que albergan vaciadores de billeteras.
El secuestro de DNS se produce cuando un atacante modifica los registros del sistema de nombres de dominio de un objetivo para redirigir el tráfico de un sitio web legítimo a uno que esté bajo su control, como páginas de phishing. Estos ataques se realizan normalmente comprometiendo un servidor DNS o la cuenta del objetivo en un proveedor de servicios DNS y realizando cambios en los registros DNS.
Los secuestros de DNS tienen como objetivo las plataformas de criptomonedas
Ayer, numerosas plataformas DeFi advirtieron que los dominios de sus sitios web estaban redirigiendo a los usuarios a sitios de phishing que utilizaban vaciadores de billeteras para robar criptomonedas y NFT de las billeteras conectadas. Todos estos dominios compartían un registrador común, Squarespace.
La plataforma DeFi Compound Finance advirtió ayer que su dominio principal había sido tomado para mostrar una página de phishing.
La plataforma advirtió a los usuarios que no visitaran su sitio web y les ofreció una alternativa segura en su lugar. También recomendó a quienes interactuaran con las dApps de Compound que revocaran el acceso.
Celer Network, una plataforma enfocada en soluciones de escalado de capa 2 para aplicaciones de blockchain, también anunció que fue blanco de un secuestro de DNS. Sin embargo, afirma que interceptó el intento y recuperó rápidamente sus registros DNS.
«Nuestra investigación en curso indica que el vector de ataque probablemente involucró a terceros fuera de nuestro control», afirmó Celer en X.
Por último, Pendle, un protocolo DeFi para el comercio de rendimiento futuro tokenizado, experimentó problemas similares. Recomendó a los usuarios revocar las aprobaciones de sus contratos inteligentes de inmediato y borrar la memoria caché de su navegador para asegurarse de que no se les redirija a otro lugar.
Las tres plataformas aseguraron a los usuarios que estos secuestros de DNS no habían comprometido sus protocolos y que los fondos de las personas estaban seguros.
Aun así, aquellos que ingresaron datos en los sitios de phishing deben tomar medidas inmediatas para mitigar los riesgos, incluida la revocación de las aprobaciones de contratos inteligentes, el cambio de contraseñas y la transferencia de fondos a una nueva billetera.
Hoy, Dominios imparables También informaron que sus dominios fueron secuestrados y que estaban teniendo problemas para comunicarse con SquareSpace para resolver el problema.
Ataques vinculados al registrador SquareSpace
Aunque aún no se ha determinado la causa exacta del ataque, todos los dominios afectados se registraron originalmente en Google Domains, que luego se transfirieron a la fuerza a Squarespace en 2023 como parte de un Acuerdo de compra de activos con Google.
Desde entonces, Squarespace ha comenzado a migrar dominios a su servicio, y los dominios recientemente comprometidos ahora están registrados en la empresa.
«Para ponerlo en contexto: Squarespace compró todos los registros de dominio y las cuentas de clientes relacionadas de Google Domains en junio de 2023, lo que obligó a la migración de dominios». tuiteó Pendle.
«Recientemente, los atacantes explotaron una vulnerabilidad en Squarespace y secuestraron dominios alojados en su plataforma. Los expertos en seguridad todavía están descifrando el mecanismo exacto de los ataques de secuestro, pero muchos dominios (incluido el de Pendle) que se migraron de Google a Squarespace se vieron afectados».
Sin embargo, como parte de la transición a Squarespace, la autenticación multifactor se desactivó en las cuentas. Tema de soporte de Squarespace Sobre la migración de Google Domains se advirtió a los propietarios de dominios que habiliten la autenticación multifactor para proteger aún más los dominios.
No está claro cómo los actores de amenazas están secuestrando dominios, pero un informe Según los investigadores de seguridad criptográfica Samczsun, Taylor Monahan y Andrew Mohawk, esto podría estar relacionado con la desactivación de la autenticación multifactor durante el proceso de migración y la creación automática de cuentas para los usuarios asociados a los dominios.
Los clientes que se suscribieron a Google Workspace a través de Google Domains habrían tenido su servicio migró a Squarespaceque también es revendedor de Workspace. Los investigadores creen que los actores de amenazas están utilizando el acceso de revendedor y las cuentas recién creadas para crear nuevas cuentas de Workspace o inquilinos asociados con los dominios.
Otros clientes de Squarespace también han informado Recibir correos electrónicos sospechosos de restablecimiento de contraseñalo que podría indicar que se trata de un ataque de credenciales más amplio a las cuentas de SquareSpace.
Los investigadores han compilado una lista de dominios de proyectos relacionados con criptomonedas y DeFi administrados por Squarespace que podrían haberse visto afectados. Se recomienda a las personas que estén atentas al interactuar con esas plataformas hasta que la situación se aclare.
BleepingComputer se ha puesto en contacto con Squarespace para solicitar un comentario sobre la situación, pero todavía estamos esperando una respuesta.