Ingeniería Social aplicada contra empleados de GoDaddy

Un grupo de estafadores logró engañar a algunos empleados de GoDaddy para redirigir el tráfico web y los correos electrónicos destinados a diversas plataformas de intercambio de criptomoneda. Esta es la compañía de registro de dominios más grande del mundo, por lo que este incidente traería consecuencias severas.

De acuerdo a KrebsOnSecurity, el ataque se basó en engañar a los empleados de la compañía para que transfirieran el control de los dominios afectados a los actores de amenazas. Este es un ataque similar al que la compañía sufrió hace unos meses, cuando un grupo cibercriminal obtuvo el control de decenas de nombres de dominio empleando una estafa de phishing de voz. Por si fuera poco, este año GoDaddy reconoció que al menos 28 mil cuentas de hosting de sus clientes fueron comprometidas en 2019, incidente que pasó desapercibido hasta abril de 2020.

El más reciente ataque habría comenzado el 13 de noviembre o una fecha cercana, cuando se detectó una conducta anómala en la plataforma de intercambio de criptomonedas Liquid. Acorde a Mike Kayamori, CEO de Liquid, un empleado desprevenido de GoDaddy transfirió el contra de su dominio web (liquid.com) a los actores de amenazas. Gracias a esto, los atacantes lograron cambiar los registros DNS y tomar el control de múltiples cuentas de correo electrónico pertenecientes a la plataforma de intercambio.

Esto se repitió con el servicio de minado de criptomoneda NiceHash, que detectó que algunas de las configuraciones de sus registros de dominio en GoDaddy fueron alteradas sin autorización, lo que generó la redirección del tráfico web de este sitio. Como medida de seguridad, la plataforma congeló todos los fondos de sus clientes por 24 horas: "Todo indica que no se accedió a los correos electrónicos y contraseñas de los usuarios, pero les sugerimos restablecer sus credenciales de acceso y habilitar la autenticación multi factor", menciona un reporte sobre el incidente.

Matjaz Skorjanc, fundador de NiceHash, menciona que los cambios no autorizados fueron realizados desde una dirección web en GoDaddy y que los actores de amenazas trataron de acceder a los correos electrónicos entrantes de NiceHash para restablecer las contraseñas de varios servicios de terceros, incluyendo Slack y GitHub.

Aparentemente el servicio de correo electrónico de NiceHash fue redirigido a privateemail.com, una plataforma email administrada por Namecheap Inc, otra importante compañía de registro de nombres de dominio. Después de un rápido análisis, los especialistas de KrebsOnSecurity concluyeron que múltiples plataformas de criptomoneda podrían haber sufrido ataques similares, incluyendo Bibox.com, Celsuis.network y Wirex.app, aunque ninguna de estas compañías ha respondido a las solicitudes de información presentadas por los expertos.

Fuente: Krebs On Security

Suscríbete a nuestro Boletín