.
Pesquisadores de segurança afirmam que uma onda de sequestros de DNS em empresas web3 está ligada à aquisição do Google Domains pela Squarespace no ano passado.
A teoria é que os cibercriminosos podem ter detectado uma falha no método usado pelo Squarespace para migrar os dados dos clientes do Google Domains para seus servidores, permitindo que eles adivinhassem os endereços de e-mail associados às contas de administrador e registrassem a conta por conta própria.
A avaliação foi feita pelos pesquisadores de segurança Samczsun, Taylor Monahan e Andrew Mohawk em um relatório publicado no fim de semana. Nele, eles dizem que os ataques começaram em 9 de julho e todas as organizações afetadas tiveram seus domínios migrados para o Squarespace após a aquisição.
O registro abordou o criador do site, registrador de domínio e patrocinador serial de vídeos do YouTube para saber sua opinião sobre o assunto, mas ele não respondeu imediatamente.
De acordo com o relatório dos pesquisadores, o Squarespace pré-registrou um monte de endereços de e-mail que ele pensou que seria útil configurar como administradores de domínio após a migração, sem verificar se as contas de e-mail existiam. As duas categorias de endereços de e-mail que ele selecionou para isso incluíam o endereço vinculado à conta original do Google Domains e quaisquer endereços de colaboradores associados a esse domínio.
“Parece que o Squarespace implementou isso pré-vinculando todos os e-mails aos domínios, independentemente de a conta já existir, provavelmente porque eles queriam que os usuários pudessem fazer OAuth com o Google e ter acesso imediato a todos os seus domínios”, dizem os pesquisadores no relatório.
“No entanto, como o Squarespace também não exige validação de e-mail para criar uma conta usando autenticação de senha – ou seja, você pode criar uma conta para bill@gates.com sem possuir o endereço de e-mail – o agente da ameaça simplesmente criou contas com todos os e-mails potenciais que poderiam ser migrados com um domínio, mas ainda não tinham sido registrados. Depois que o agente da ameaça encontrou um e-mail válido, ele teve acesso total aos domínios associados sem precisar verificar o endereço de e-mail.”
Os ataques e seus objetivos
Muitas empresas web3 reconheceram jogo sujo em seus sistemas nos últimos dias. Dizem que os ataques acontecem quando os criminosos adivinham um dos endereços de e-mail de administrador pré-registrados, registram a conta para si mesmos e, em seguida, a usam para obter acesso de administrador e alterar dados de registro DNS.
Alterar os dados do registro DNS permite que invasores redirecionem visitantes para a URL legítima de um site para sites de phishing que, se bem projetados, não despertarão muitas suspeitas por parte do usuário.
Nos casos direcionados a empresas de criptomoedas e blockchain, os pesquisadores dizem que os sites de phishing são projetados para roubar tokens e outros ativos digitais das carteiras digitais dos usuários.
Também houve casos em que invasores foram flagrados criando novas contas de administrador do Google Workspace e registrando novos dispositivos e navegadores nelas. Dizem que isso foi possível novamente pela aquisição do Google Domains pela Squarespace. Tanto a Squarespace quanto o Google Domains são revendedores do Google Workspace.
Se o Google Workspace foi comprado antes da aquisição, ele também teria sido migrado. O fator-chave em jogo aqui é que os administradores do Squarespace tinham então a capacidade de criar novos administradores do Workspace, mesmo que não fossem um. Então, uma vez que os criminosos obtiveram acesso a uma conta de administrador do Squarespace, eles puderam se registrar como administradores do Workspace também, afirma o relatório.
Depois de registrados como administradores do Workplace, os criminosos conseguiram acessar serviços históricos, incluindo e-mail, bem como sincronizar dados e desabilitar a autenticação forte da conta, diz o relatório dos pesquisadores.
Quem é afetado?
Os casos mais comentados já foram resolvidos, de acordo com Compound Labs, Unstoppable Domains, Celer e Pendle, que confirmaram ter detectado atividade maliciosa em suas contas do Squarespace.
No entanto, há centenas de outros domínios que supostamente correm pelo menos o risco de sequestros de DNS semelhantes, então pode não ter acabado ainda, e pode acontecer com os melhores de nós.
Qualquer organização que teve seus dados do Google Domains migrados para o Squarespace no ano passado deve habilitar a autenticação de dois fatores (2FA) em sua conta do Squarespace, pois ela não é habilitada por padrão.
Como sempre, os logs também oferecem uma ajuda aqui – examine-os e reverta qualquer atividade não autorizada, incluindo a exclusão de contas de administradores desonestos, navegadores, dispositivos e outros. ®
.
