Ένα κύμα συντονισμένων επιθέσεων DNS hijacking, στοχεύει τομείς crypto αποκεντρωμένης χρηματοδότησης (DeFi) χρησιμοποιώντας τον καταχωρητή Squarespace, ανακατευθύνοντας τους επισκέπτες σε ιστότοπους phishing που φιλοξενούν wallet drainers.
Δείτε επίσης: Οικογένειες malware προσαρμόζονται στην τεχνική COM Hijacking
To DNS hijacking συμβαίνει όταν ένας εισβολέας τροποποιεί τις εγγραφές του Συστήματος Ονομάτων Τομέα ενός στόχου για να ανακατευθύνει την επισκεψιμότητα από έναν νόμιμο ιστότοπο σε έναν υπό τον έλεγχό του, όπως σελίδες phishing. Αυτές οι επιθέσεις συνήθως γίνονται με παραβίαση ενός διακομιστή DNS ή του λογαριασμού του στόχου σε έναν πάροχο υπηρεσιών DNS και κάνοντας αλλαγές στις εγγραφές DNS.
Το DNS hijacking στοχεύει πλατφόρμες crypto
Πρόσφατα, πολλές πλατφόρμες DeFi προειδοποίησαν ότι οι τομείς του ιστότοπού τους ανακατευθύνουν τους χρήστες σε ιστότοπους phishing που χρησιμοποιούσαν wallet drainers για να κλέψουν κρυπτονομίσματα και NFT από συνδεδεμένα πορτοφόλια. Όλοι αυτοί οι τομείς μοιράστηκαν ένα κοινό καταχωρητή, το Squarespace.
Η πλατφόρμα DeFi Compound Finance προειδοποίησε, ότι ο κύριος τομέας της είχε πέσει θύμα hijacking για την εμφάνιση μιας σελίδας phishing. Η πλατφόρμα ειδοποίησε τους χρήστες να μην επισκέπτονται τον ιστότοπό της και παρείχε μια ασφαλή εναλλακτική λύση. Συμβουλεύει επίσης οποιονδήποτε αλληλεπιδρά με το Compound dApps να ανακαλέσει την πρόσβαση.
Η Celer Network, μια πλατφόρμα που επικεντρώνεται σε λύσεις κλιμάκωσης επιπέδου 2 για εφαρμογές blockchain, ανακοίνωσε επίσης ότι στοχοποιήθηκε από DNS hijacking. Ωστόσο, λέει ότι αναχαίτισε την προσπάθεια και ανέκτησε γρήγορα τα αρχεία DNS της.
Δείτε ακόμα: DLL search order hijacking: Νέα παραλλαγή παρακάμπτει μηχανισμούς ασφαλείας στα Windows
Τέλος, το Pendle, ένα πρωτόκολλο DeFi για διαπραγμάτευση μελλοντικής απόδοσης με διακριτικό, αντιμετώπισε παρόμοια προβλήματα. Συνέστησε στους χρήστες να ανακαλέσουν αμέσως τις εγκρίσεις για τα έξυπνα συμβόλαιά τους και να διαγράψουν την προσωρινή μνήμη του προγράμματος περιήγησής τους για να διασφαλίσουν ότι δεν θα ανακατευθυνθούν αλλού.
Και οι τρεις πλατφόρμες διαβεβαίωσαν τους χρήστες ότι αυτές οι επιθέσεις DNS hijacking δεν είχαν θέσει σε κίνδυνο τα πρωτόκολλά τους και ότι τα crypto των ανθρώπων ήταν ασφαλή. Ωστόσο, όσοι εισήγαγαν στοιχεία στους ιστότοπους ηλεκτρονικού phishing πρέπει να λάβουν άμεσα μέτρα για τον μετριασμό των κινδύνων, όπως ανάκληση εγκρίσεων έξυπνων συμβολαίων, αλλαγή κωδικών πρόσβασης και μεταφορά χρημάτων σε νέο πορτοφόλι.
Οι Unstoppable Domains ανέφεραν επίσης ότι οι τομείς τους υπέστησαν hijacking και ότι αντιμετώπιζαν πρόβλημα με την επικοινωνία με το SquareSpace για την επίλυση του προβλήματος.
Αν και η ακριβής αιτία παραβίασης δεν έχει ακόμη προσδιοριστεί, οι παραβιασμένοι τομείς είχαν αρχικά καταχωρηθεί στα Google Domains, που αργότερα μεταφέρθηκαν αναγκαστικά στο Squarespace το 2023 ως μέρος μιας συμφωνίας αγοράς περιουσιακών στοιχείων με την Google. Έκτοτε, η Squarespace άρχισε να μεταφέρει τομείς στην υπηρεσία της και οι τομείς που παραβιάστηκαν πρόσφατα έχουν καταχωρηθεί στην εταιρεία.
Δείτε επίσης: Hackers αναπτύσσουν το Hijack Loader και το Vidar Stealer
Οι επιθέσεις hijacking, όπως στην οερίπτωση των πλατφορμών crypto, αποτελούν σημαντικές απειλές στη σφαίρα της κυβερνοασφάλειας. Αυτές οι επιθέσεις συμβαίνουν όταν ένας κακόβουλος χρήστης καταλαμβάνει τον έλεγχο της συνεδρίας ενός νόμιμου χρήστη, συχνά κλέβοντας διακριτικά περιόδου λειτουργίας ή cookies που μεταδίδονται μεταξύ της συσκευής του χρήστη και του διακομιστή ιστού. Μόλις κατέχει αυτά τα διακριτικά, ο εισβολέας μπορεί να μιμηθεί τον χρήστη και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες και πόρους. Τα αποτελεσματικά αντίμετρα περιλαμβάνουν την εφαρμογή ασφαλών πρωτοκόλλων όπως το HTTPS, τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων και την τακτική ενημέρωση λογισμικού για τον μετριασμό των τρωτών σημείων που θα μπορούσαν να χρησιμοποιηθούν για hijacking.
Πηγή: bleepingcomputer
