Хакеры запустили фишинговую атаку через рекламу Google, нацеленную на учетные записи ManageWP — платформы от GoDaddy для управления множеством сайтов на WordPress. Эта кампания может угрожать целому ряду пользователей, включая веб-разработчиков и агентства, управляющие клиентскими сайтами.
Как организована атака
Злоумышленники применяют подход adversary-in-the-middle (AitM), используя поддельные страницы для входа, которые действуют как прокси между жертвой и легитимной службой ManageWP. Исследователи из Guardio Labs выяснили, что фальшивые результаты поиска появляются выше правдивых, что вводит пользователей в заблуждение и облегчает атаку.
После нажатия на случае, пользователи попадают на страницу входа, внешне идентичную настоящей. Все введенные эти отправляются в Telegram-канал, контролируемый преступником, что позволяет ему сразу же войти в учетную запись жертвы. После этого жертва получает поддельный запрос на ввод кода двухфакторной аутентификации, чтобы злоумышленник мог полностью получить доступ к аккаунту.
Статистика и риски
По этим WordPress.org, плагин ManageWP активен на более чем 1 миллионе сайтов. Специалист Guardio Labs Нати Тал подчеркнул, что каждый аккаунт в ManageWP обычно содержит сотни сайтов, что делает успешную угонку учетных записей особенно опасной для множества пользователей.
На этот момент исследователи уже зафиксировали 200 уникальных жертв этой фишинговой атаки. Указано также, что код злоумышленников содержит российский текст, касающийся ответственности за незаконные действия, что может указывать на географическую привязку или организованный характер угнанной схемы.
Практические выводы для пользователей
Для веб-разработчиков и агентств, использующих ManageWP, этот инцидент — тревожным сигналом. Необходимо быть особенно внимательными к источникам, откуда делается вход на платформу, и регулярно проверять свои учетные записи на предмет подозрительной активности. Рекомендуется также активировать дополнительные меры безопасности при входе для защиты от подобных атак.
Следующий шаг для исследовательских групп — продолжать мониторинг инфраструктуры злоумышленников и предупреждать пользователей о новых возможных атаках.
