Gelombang serangan pembajakan DNS yang terkoordinasi menargetkan domain mata uang kripto keuangan terdesentralisasi (DeFi) menggunakan pendaftar Squarespace, mengarahkan pengunjung ke situs phishing yang menjadi host penguras dompet.
Pembajakan DNS terjadi saat penyerang mengubah catatan Sistem Nama Domain target untuk mengalihkan lalu lintas dari situs web yang sah ke situs web yang berada di bawah kendalinya, seperti halaman phishing. Serangan ini biasanya dilakukan dengan membahayakan server DNS atau akun target di penyedia layanan DNS dan membuat perubahan pada catatan DNS.
Pembajakan DNS menargetkan platform kripto
Kemarin, sejumlah platform DeFi memperingatkan bahwa domain situs web mereka mengarahkan pengguna ke situs phishing yang memanfaatkan penguras dompet untuk mencuri mata uang kripto dan NFT dari dompet yang terhubung. Semua domain ini berbagi pendaftar yang sama, Squarespace.
Platform DeFi Compound Finance memperingatkan kemarin bahwa domain utamanya telah diambil alih untuk menampilkan halaman phishing.
Platform tersebut memperingatkan pengguna untuk tidak mengunjungi situs webnya dan menyediakan alternatif yang aman sebagai gantinya. Platform tersebut juga menyarankan siapa pun yang berinteraksi dengan Compound dApps untuk mencabut akses.
Celer Network, sebuah platform yang berfokus pada solusi penskalaan layer-2 untuk aplikasi blockchain, juga mengumumkan bahwa mereka menjadi sasaran pembajakan DNS. Namun, mereka mengatakan bahwa mereka berhasil mencegat upaya tersebut dan dengan cepat memulihkan rekaman DNS mereka.
“Penyelidikan kami yang sedang berlangsung menunjukkan bahwa vektor serangan kemungkinan melibatkan pihak ketiga di luar kendali kami,” kata Celer di X.
Terakhir, Pendle, protokol DeFi untuk memperdagangkan hasil berjangka yang ditokenisasi, mengalami masalah serupa. Protokol ini menyarankan pengguna untuk segera mencabut persetujuan untuk kontrak pintarnya dan menghapus cache browser mereka untuk memastikan mereka tidak diarahkan ke tempat lain.
Ketiga platform tersebut meyakinkan pengguna bahwa pembajakan DNS ini tidak membahayakan protokol mereka dan dana pengguna aman.
Namun, mereka yang memasukkan rincian pada situs phishing perlu mengambil tindakan segera untuk mengurangi risiko, termasuk mencabut persetujuan kontrak pintar, mengubah kata sandi, dan mentransfer dana ke dompet baru.
Hari ini, Domain yang Tak Terhentikan juga melaporkan bahwa domain mereka dibajak dan mereka mengalami masalah menghubungi SquareSpace untuk menyelesaikan masalah tersebut.
Serangan terkait dengan pendaftar SquareSpace
Meskipun penyebab pasti dari kompromi tersebut belum ditentukan, semua domain yang dikompromikan awalnya terdaftar di Google Domains, yang kemudian dipindahkan secara paksa ke Squarespace pada tahun 2023 sebagai bagian dari perjanjian pembelian aset dengan Google.
Sejak saat itu, Squarespace telah mulai memindahkan domain ke layanannya, dan domain yang baru-baru ini disusupi kini terdaftar di perusahaan tersebut.
“Untuk konteks – Squarespace membeli semua pendaftaran domain dan akun pelanggan terkait dari Google Domains pada bulan Juni 2023, yang memaksa migrasi domain,” cuit Pendle.
“Baru-baru ini, penyerang mengeksploitasi kerentanan di Squarespace, membajak domain yang dihosting di platform mereka. Pakar keamanan masih berupaya menemukan mekanisme pasti untuk serangan pembajakan tersebut, tetapi banyak domain (termasuk milik Pendle) yang dimigrasikan dari Google ke Squarespace telah terpengaruh.”
Namun, sebagai bagian dari transisi ke Squarespace, autentikasi multi-faktor dinonaktifkan pada akun. Topik dukungan Squarespace tentang migrasi Google Domains telah memperingatkan pemilik domain untuk mengaktifkan autentikasi multifaktor guna mengamankan domain lebih jauh.
Tidak jelas bagaimana pelaku ancaman membajak domain, tetapi laporan oleh peneliti keamanan kripto Samczsun, Taylor Monahan, dan Andrew Mohawk menunjukkan hal itu dapat terkait dengan penonaktifan autentikasi multifaktor selama proses migrasi dan pembuatan akun otomatis untuk pengguna yang terkait dengan domain.
Pelanggan yang berlangganan Google Workspace melalui Google Domains akan mendapatkan layanannya bermigrasi ke Squarespaceyang juga merupakan pengecer Workspace. Para peneliti percaya bahwa pelaku ancaman memanfaatkan akses pengecer dan akun yang baru dibuat untuk membuat akun Workspace baru atau penyewa yang terkait dengan domain tersebut.
Pelanggan Squarespace lainnya juga telah melaporkan menerima email pengaturan ulang kata sandi yang mencurigakanyang dapat mengindikasikan bahwa ini adalah serangan kredensial yang lebih luas pada akun SquareSpace.
Para peneliti telah menyusun sebuah daftar domain proyek mata uang kripto dan DeFi yang dikelola oleh Squarespace yang mungkin terkena dampak. Masyarakat diimbau untuk waspada saat berinteraksi dengan platform tersebut hingga situasi membaik.
BleepingComputer telah menghubungi Squarespace untuk memberikan komentar mengenai situasi ini, tetapi kami masih menunggu tanggapan.
