Хакеры используют рекламу Google для фишинга при входе в систему GoDaddy ManageWP
Фишинговая кампания, распространяемая через спонсируемые результаты поиска Google, нацелена на учетные данные ManageWP — платформы GoDaddy для управления парком сайтов на WordPress.
Злоумышленник использует подход «злодей в середине» (AitM), при котором поддельная страница входа выступает в качестве прокси-сервера в режиме реального времени между жертвой и легитимной службой ManageWP.
ManageWP — это централизованная платформа для удаленного администрирования сайтов на WordPress, которая позволяет пользователям управлять несколькими сайтами с единой панели, не заходя в отдельные интерфейсы. Среди пользователей — веб-разработчики, веб-агентства, управляющие сайтами клиентов, и крупные компании.
Исследователи из Guardio Labs предупреждают, что поддельный результат отображается над реальным по запросу ‘managewp’, заманивая пользователей, которые используют Google для поиска URL-адреса для входа в ManageWP.
Вредоносный результат поиска Google
Источник: Guardio Labs
Пользователи, кликнувшие по вредоносной ссылке, попадают на страницу входа, которая выглядит так же, как настоящая. Однако все введенные учетные данные попадают в Telegram-канал, контролируемый злоумышленником.
В отличие от более распространенных фишинговых страниц, на которых злоумышленники собирают пары «имя пользователя — пароль», в этой кампании используется технология AiTM в режиме реального времени, поскольку злоумышленник использует полученные учетные данные для входа на платформу.
Затем жертве предлагается ввести поддельный код двухфакторной аутентификации (2FA), с помощью которого злоумышленник получает доступ к учетной записи ManageWP.
Главный исследователь Guardio Labs Нати Тал сообщил изданию BleepingComputer, что на каждой учетной записи ManageWP обычно размещаются сотни сайтов.
Согласно статистике WordPress.org, плагин ManageWP, который дает платформе контроль над зарегистрированными сайтами, активен более чем на 1 миллионе сайтов.
Guardio Labs удалось проникнуть в инфраструктуру управления и контроля (C2) злоумышленников и обнаружить систему выпадающих команд, которая обеспечивает интерактивный фишинговый процесс под управлением оператора.
Панель C2
Источник: Guardio Labs
Тал также отметил, что платформа, судя по всему, является не частью стандартного набора, а скорее частной системой фишинга.
Любопытно, что исследователь обнаружил в коде соглашение на русском языке, в котором автор снимает с себя ответственность за незаконную деятельность, заявляет об отказе от претензий в связи с использованием в образовательных или исследовательских целях и запрещает публичную утечку файлов панели или их использование против российских систем.
Компания Guardio Labs получила от злоумышленников данные о жертвах и начала связываться с ними, чтобы предупредить об утечке. На момент написания статьи исследователи подтвердили наличие 200 уникальных жертв.
Выводы
Атака показывает, что даже рекламные результаты в Google могут быть использованы для фишинга. Злоумышленники всё чаще применяют сложные схемы с AitM-перехватом, делая поддельные страницы практически неотличимыми от оригинальных.
Основная защита пользователей — внимательность, проверка URL и обязательное использование двухфакторной аутентификации.
Часто задаваемые вопросы
Что такое атака через Google Ads?
Это схема, при которой злоумышленники размещают фальшивые рекламные объявления, ведущие на поддельные сайты для кражи данных.
Почему атакуют ManageWP?
Потому что сервис позволяет управлять множеством WordPress-сайтов одновременно, что делает один взлом очень ценным.
Может ли 2FA защитить?
Да, но в случае атак типа AitM даже 2FA может быть перехвачена в реальном времени, поэтому важно проверять URL и использовать только доверенные входы.
Как отличить фальшивую рекламу?
Обращайте внимание на домен, избегайте входа через рекламные ссылки и всегда проверяйте официальный адрес сайта.
Редактор: AndreyEx
