Une vague d’attaques coordonnées de détournement de DNS cible les domaines de crypto-monnaie de la finance décentralisée (DeFi) à l’aide du registraire Squarespace, redirigeant les visiteurs vers des sites de phishing hébergeant des draineurs de portefeuille.

Le détournement de DNS se produit lorsqu’un attaquant modifie les enregistrements du système de noms de domaine d’une cible pour rediriger le trafic d’un site Web légitime vers un site sous son contrôle, tel que des pages de phishing. Ces attaques sont généralement effectuées en compromettant un serveur DNS ou le compte de la cible chez un fournisseur de services DNS et en modifiant les enregistrements DNS.

DNS détourne les plateformes cryptographiques cibles
Hier, de nombreuses plates-formes DeFi ont averti que les domaines de leurs sites Web redirigeaient les utilisateurs vers des sites de phishing qui utilisaient des égouttoirs de portefeuille pour voler des crypto-monnaies et des NFT à partir de portefeuilles connectés. Tous ces domaines partageaient un registraire commun, Squarespace.

La plate-forme DeFi Compound Finance a averti hier que son domaine principal avait été repris pour afficher une page de phishing.

La plateforme a averti les utilisateurs de ne pas visiter son site Web et a fourni une alternative sécurisée à la place. Il a également conseillé à toute personne ayant interagi avec des applications composées de révoquer l’accès.

Celer Network, une plate-forme axée sur les solutions de mise à l’échelle de couche 2 pour les applications blockchain, a également annoncé qu’elle était ciblée par le détournement de DNS. Cependant, il dit avoir intercepté la tentative et récupéré rapidement ses enregistrements DNS.

« Notre enquête en cours indique que le vecteur d’attaque impliquait probablement des tiers indépendants de notre volonté », a déclaré Celer sur X.

Enfin, Pendle, un protocole DeFi pour la négociation de rendements futurs tokenisés, a rencontré des problèmes similaires. Il a conseillé aux utilisateurs de révoquer immédiatement les approbations de ses contrats intelligents et de vider le cache de leur navigateur pour s’assurer qu’ils ne sont pas redirigés ailleurs.

Les trois plates-formes ont assuré aux utilisateurs que ces détournements de DNS n’avaient pas compromis leurs protocoles et que les fonds des personnes étaient en sécurité.

Néanmoins, ceux qui ont entré des détails sur les sites de phishing doivent prendre des mesures immédiates pour atténuer les risques, notamment en révoquant les approbations des contrats intelligents, en modifiant les mots de passe et en transférant des fonds vers un nouveau portefeuille.

Aujourd’hui, Unstoppable Domains a également signalé que leurs domaines avaient été détournés et qu’ils avaient du mal à contacter SquareSpace pour résoudre le problème.

Attaques liées au registraire SquareSpace
Bien que la cause exacte de la compromission n’ait pas encore été déterminée, les domaines compromis étaient tous initialement enregistrés sur Google Domains, qui ont ensuite été transférés de force à Squarespace en 2023 dans le cadre d’un contrat d’achat d’actifs avec Google.

Depuis lors, Squarespace a commencé à migrer des domaines vers son service, et les domaines récemment compromis sont maintenant enregistrés auprès de l’entreprise.

« Pour le contexte, Squarespace a acheté tous les enregistrements de domaines et les comptes clients associés auprès de Google Domains en juin 2023, ce qui a forcé la migration des domaines », a tweeté Pendle.

« Récemment, des attaquants ont exploité une vulnérabilité dans Squarespace, détournant des domaines hébergés sur leur plate-forme. Les experts en sécurité travaillent toujours sur le mécanisme exact des attaques de détournement, mais de nombreux domaines (y compris Pendle) qui ont été migrés de Google vers Squarespace ont été affectés. »

Cependant, dans le cadre de la transition vers Squarespace, l’authentification multifacteur a été désactivée sur les comptes. Une rubrique d’assistance Squarespace sur la migration de Google Domains a averti les propriétaires de domaines d’activer l’authentification multifacteur pour sécuriser davantage les domaines.

On ne sait pas comment les acteurs de la menace détournent les domaines, mais un rapport des chercheurs en sécurité cryptographique Samczsun, Taylor Monahan et Andrew Mohawk indique que cela pourrait être lié à la désactivation de l’authentification multifacteur pendant le processus de migration et à la création automatique de comptes pour les utilisateurs associés aux domaines.

Les clients qui se sont abonnés à Google Workspace via Google Domains auraient vu leur service migrer vers Squarespace, qui est également un revendeur de Workspace. Les chercheurs pensent que les acteurs de la menace utilisent l’accès des revendeurs et les comptes nouvellement créés pour créer de nouveaux comptes d’espace de travail ou locataires associés aux domaines.

D’autres clients Squarespace ont également signalé avoir reçu des e-mails suspects de réinitialisation de mot de passe, ce qui pourrait indiquer qu’il s’agit d’une attaque d’informations d’identification plus large sur les comptes SquareSpace.

Les chercheurs ont compilé une liste de domaines de projets liés à la crypto-monnaie et à la DeFi gérés par Squarespace qui auraient pu être touchés. Il est recommandé aux gens d’être vigilants lorsqu’ils interagissent avec ces plateformes jusqu’à ce que la situation s’éclaircisse.

Breachtrace a contacté Squarespace pour un commentaire sur la situation, mais nous attendons toujours une réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *