Эксперты обнаружили серию скоординированных DNS-атак, направленных на криптовалютные DeFi-платформы, размещающие свои домены у Squarespace. Злоумышленники перенаправляют посетителей этих ресурсов на фишинговые сайты, которые похищают криптовалюту.
В конце прошлой недели сразу несколько криптоплатформ, включая Celer Network, Compound Finance, Pendle Finance и Unstoppable Domains, предупредили о том, что DNS-записи их доменов изменены, и теперь сайты перенаправляют пользователей на фишинговые ресурсы, которые похищают криптовалюту и NFT с подключенных к ним кошельков. Все эти домены объединяло то, что у них был общий регистратор — Squarespace.
Представители Compound Finance писали, что основной домен проекта захвачен фишерами и предупреждали пользователей, чтобы те не посещали сайт, предложив вместо него безопасную альтернативу. Также всем, кто взаимодействовал с dApps Compound, рекомендовали как можно скорее отозвать доступ.
В Celer Network сообщали, что тоже стали жертвой DNS-атаки. Однако, согласно заявлению компании, ее специалисты пресекли эту попытку и быстро восстановили DNS-записи.
«Ведущееся расследование показывает, что вектор атаки, скорее всего, был связан с третьими лицами, не имеющими к нам отношения», — заявили представители Celer в X.
В Pendle и Unstoppable Domains столкнулись с аналогичными проблемами, из-за чего компании рекомендовали пользователям немедленно отозвать одобрение смарт-контрактов и очистить кеш браузера.
Все пострадавшие платформы заверили пользователей, что эти DNS-атаки не были связаны с компрометацией их протоколов или систем, а средства пользователей находятся в безопасности. Впрочем, это не относится к тем, кто успел ввести свои данные на фишинговых сайтах. Этим пользователям необходимо срочно отозвать все одобрения, связанные со смарт-контрактами, сменить пароли и перевести средства на другие кошельки.
Как выясняется теперь, все пострадавшие домены были изначально зарегистрированы через Google Domains. Но летом 2023 года компания Squarespace приобрела Google Domains и начала переводить бывших клиентов Google на свою инфраструктуру в июне 2024 года.
«Для справки — Squarespace выкупила все регистрации доменов и связанные с ними учетные записи клиентов у Google Domains в июне 2023 года, что привело к вынужденной миграции, — объясняют специалисты Pendle. — Недавно злоумышленники использовали уязвимость в Squarespace и захватив домены, размещенные на их платформе. ИБ-эксперты еще выясняют точный механизм этих атак, но пострадали многие домены (в том числе и домены Pendle), которые были перенесены с Google на Squarespace».
Судя по всему, корень проблемы кроется в том, что в рамках миграции на Squarespace в учетных записях была отключена многофакторная аутентификация (МФА), чтобы предотвратить случайную блокировку учетных записей администраторов. Служба поддержки Squarespace предупреждала владельцев доменов Google Domains о необходимости включить МФА чтобы обеспечить дополнительную защиту своих доменов.
Согласно изначальной теории ИБ-специалистов из Paradigm и Metamask, хакеры узнали об отключении МФА и воспользовались ситуацией. Они могли использовать украденные или случайно попавшие в открытый доступ учетные данные для доступа к аккаунтам администраторов и последующего изменения записей DNS, что позволило скомпрометировать сайты и частные почтовые серверы.
Однако теперь, спустя несколько дней, исследователи выдвинули новую версию: злоумышленники могли обнаружить ошибку в методе, который Squarespace использовала для переноса данных клиентов Google Domains на свои серверы, что позволило хакерам подобрать email-адреса, связанные с учетными записями администраторов, и зарегистрировать аккаунты на себя.
Согласно отчету исследователей, Squarespace предварительно зарегистрировала ряд email-адресов, которые нужно было назначить администраторами домена после переноса, не проверяя, существуют ли эти аккаунты. Для этого использовались две категории адресов: email-адреса, связанные с оригинальным аккаунтом Google Domains, и адреса всех контрибьюторов, связанных с конкретным доменом.
«Похоже, в реализации Squarespace все email-адреса предварительно связывались с доменам, независимо от того, существует ли уже такой аккаунт. Вероятно, компания хотела, чтобы пользователи могли использовать OAuth Google и сразу же получали доступ ко всем своим доменам, — рассказывают эксперты. — Однако, поскольку Squarespace не требует подтверждения электронной почты для создания аккаунта с помощью аутентификации по паролю (то есть можно создать аккаунт на bill@gates.com, не владея этим адресом электронной почты), злоумышленники попросту создавали аккаунты с использованием любых возможных email-адресов, которые могли быть перенесены с доменом, но еще не были зарегистрированы. Как только они находили действующий email, они получали полный доступ к связанным с ним доменам без необходимости верификации адреса электронной почты».
Специалисты уже составили список связанных с криптовалютами доменов, которые размещены на Squarespace. Пользователям не рекомендуется заходить на эти сайты, пока их администраторы не подтвердят, что они защитили свои домены и включили МФА для учетных записей Squarespace.
Также исследователи предупреждают, что злоумышленники могут попытаться использовать захваченные домены для развития атак и перехода в другие системы внутри организаций. К примеру, уже были замечены случаи, когда хакеры создавали новые учетные записи администраторов Google Workspace и регистрировали в них новые устройства и браузеры.
ИБ-компания Blockaid, которая одной из первых заметила эти DNS-атаки, предупреждает, что хакеры, похоже, пытаются зайти дальше и создают фишинговую инфраструктуру для различных брендов, включая скомпрометированные.
Хотя в настоящее время атаки направлены только на сайты криптовалютной тематики, аналогичная проблема угрожает и всем остальным владельцам сайтов на бывшем Google Domains.
Представители Squarespace до сих пор не сделали никаких официальных заявлений о ситуации.
