Koordineli DNS ele geçirme saldırıları dalgası, Squarespace kayıt kuruluşunu kullanarak merkezi olmayan finans (DeFi) kripto para alan adlarını hedef alıyor ve ziyaretçileri cüzdan sömürücülerini barındıran kimlik avı sitelerine yönlendiriyor.
DNS ele geçirme, bir saldırganın hedefin Alan Adı Sistemi kayıtlarını, trafiği meşru bir web sitesinden kendi kontrolündeki bir web sitesine (örneğin kimlik avı sayfaları) yönlendirmek için değiştirmesidir. Bu saldırılar genellikle bir DNS sunucusunu veya hedefin bir DNS hizmet sağlayıcısındaki hesabını tehlikeye atarak ve DNS kayıtlarında değişiklikler yaparak yapılır.
DNS ele geçirmeleri kripto platformlarını hedef alıyor
Dün, çok sayıda DeFi platformu, web sitesi alan adlarının kullanıcıları, kripto para ve NFT’leri bağlı cüzdanlardan çalmak için cüzdan sömürücüleri kullanan kimlik avı sitelerine yönlendirdiği konusunda uyardı. Bu alan adlarının tümü ortak bir kayıt kuruluşu olan Squarespace’i paylaşıyordu.
DeFi platformu Compound Finance, dün ana alan adının bir kimlik avı sayfasını görüntülemek için ele geçirildiği uyarısında bulundu.
Platform, kullanıcıları web sitesini ziyaret etmemeleri konusunda uyardı ve bunun yerine güvenli bir alternatif sundu. Ayrıca, Compound dApp’lerle etkileşimde bulunan herkesin erişimi iptal etmesini tavsiye etti.
Blockchain uygulamaları için katman-2 ölçekleme çözümlerine odaklanan bir platform olan Celer Network, DNS ele geçirme saldırısına hedef olduğunu duyurdu. Ancak, girişimi engellediğini ve DNS kayıtlarını hızla kurtardığını söylüyor.
Celer, X. hakkında “Devam eden soruşturmamız, saldırı vektörünün büyük ihtimalle kontrolümüz dışındaki üçüncü tarafları içerdiğini gösteriyor” dedi.
Son olarak, tokenleştirilmiş vadeli getiri ticareti için bir DeFi protokolü olan Pendle da benzer sorunlar yaşadı. Kullanıcılarına akıllı sözleşmeleri için onayları derhal iptal etmelerini ve başka bir yere yönlendirilmemelerini sağlamak için tarayıcı önbelleklerini temizlemelerini tavsiye etti.
Her üç platform da kullanıcılarına, DNS ele geçirmelerinin protokollerini tehlikeye atmadığı ve insanların fonlarının güvende olduğu konusunda güvence verdi.
Yine de kimlik avı sitelerine bilgilerini girenlerin, akıllı sözleşme onaylarını iptal etmek, şifreleri değiştirmek ve parayı yeni bir cüzdana aktarmak da dahil olmak üzere riskleri azaltmak için derhal harekete geçmeleri gerekiyor.
Unstoppable Domains de bugün alan adlarının ele geçirildiğini ve sorunu çözmek için SquareSpace ile iletişim kurmakta zorluk çektiklerini bildirdi.
SquareSpace kayıt kuruluşuna bağlı saldırılar
Tehlikenin kesin nedeni henüz belirlenememiş olsa da, tehlikeye atılan alan adlarının tamamı başlangıçta Google Domains’de kayıtlıydı ve daha sonra 2023 yılında Google ile yapılan bir varlık satın alma anlaşmasının parçası olarak Squarespace’e zorla transfer edildi.
O tarihten bu yana Squarespace, alan adlarını kendi hizmetine taşımaya başladı ve yakın zamanda tehlikeye atılan alan adları artık şirkette kayıtlı.
Pendle, “Bağlam için – Squarespace, Haziran 2023’te Google Domains’den tüm alan adı kayıtlarını ve ilgili müşteri hesaplarını satın aldı ve bu da alan adlarının taşınmasını zorunlu kıldı,” diye tweet attı.
“Son zamanlarda saldırganlar Squarespace’deki bir güvenlik açığını istismar ederek platformlarında barındırılan alan adlarını ele geçirdiler. Güvenlik uzmanları hala ele geçirme saldırılarının tam mekanizması üzerinde çalışıyorlar, ancak Google’dan Squarespace’e taşınan birçok alan adı (Pendle’ınki de dahil) etkilendi.”
Ancak Squarespace’e geçişin bir parçası olarak, hesaplarda çok faktörlü kimlik doğrulama kapatıldı. Google Domains geçişiyle ilgili bir Squarespace destek konusu, alan adı sahiplerini alan adlarını daha fazla güvence altına almak için çok faktörlü kimlik doğrulamayı etkinleştirmeleri konusunda uyardı.
Tehdit aktörlerinin alan adlarını nasıl ele geçirdiği henüz net değil ancak kripto güvenlik araştırmacıları Samczsun, Taylor Monahan ve Andrew Mohawk’ın hazırladığı bir rapora göre, bunun göç süreci sırasında çok faktörlü kimlik doğrulamanın devre dışı bırakılması ve alan adlarıyla ilişkili kullanıcılar için hesapların otomatik olarak oluşturulmasıyla ilgili olabileceği belirtiliyor.
Google Domains aracılığıyla Google Workspace’e abone olan müşterilerin hizmetleri, Workspace’in bir bayisi olan Squarespace’e taşınmış olurdu. Araştırmacılar, tehdit aktörlerinin bayi erişimini ve yeni oluşturulan hesapları kullanarak etki alanlarıyla ilişkili yeni Workspace hesapları veya kiracıları oluşturduğuna inanıyor.
Diğer Squarespace müşterileri de şüpheli parola sıfırlama e-postaları aldıklarını bildirdiler; bu durum, bunun SquareSpace hesaplarına yönelik daha geniş kapsamlı bir kimlik bilgisi saldırısı olabileceğini gösteriyor olabilir.
Araştırmacılar, Squarespace tarafından yönetilen ve etkilenmiş olabilecek kripto para birimi ve DeFi ile ilgili projelerin etki alanlarının bir listesini derlediler. İnsanların durum düzelene kadar bu platformlarla etkileşim kurarken dikkatli olmaları önerilir.
BleepingComputer durumla ilgili bir yorum almak için Squarespace ile iletişime geçti, ancak hâlâ bir yanıt bekliyoruz.
