Хвалёная двойная проверка оказалась бессильна перед человеческим фактором.
Мошенники нашли новый способ добраться до администраторов WordPress-сайтов — прямиком через рекламу в Google. Новая вредоносная кампания нацелена на пользователей ManageWP — сервиса GoDaddy для централизованного управления сайтами. Атака выглядит особенно опасной из-за того, что поддельная ссылка появляется выше официального результата поиска и почти неотличима от настоящего сайта.
Специалисты Guardio Labs выяснили, что злоумышленники продвигают фальшивую страницу входа по запросу «managewp» через рекламные объявления Google. После перехода жертва попадает на копию оригинальной формы авторизации. Введённые логин и пароль сразу отправляются в Telegram-канал, который контролируют организаторы схемы.
Кампания использует более сложный сценарий, чем обычный фишинг. Поддельный сайт работает как промежуточный сервер между пользователем и настоящим сервисом ManageWP. Пока владелец аккаунта вводит данные, атакующие в реальном времени проходят авторизацию на официальной платформе. Затем жертве показывают запрос на ввод кода двухфакторной аутентификации, который также перехватывается.
Мы в MAX. Простите.
ManageWP используют веб-разработчики, агентства и компании, управляющие большим количеством WordPress-сайтов из одной панели. По словам руководителя исследований Guardio Labs Нати Таля, один аккаунт нередко связан с сотнями сайтов. Плагин ManageWP, через который сервис получает доступ к ресурсам клиентов, установлен более чем на миллионе сайтов.
Команда Guardio Labs смогла проникнуть в инфраструктуру злоумышленников и изучить работу системы управления атакой. Анализ показал, что операторы вручную контролируют процесс фишинга через специальную панель с интерактивными командами. Авторы отчёта считают, что речь идёт не о массовом наборе инструментов, а о закрытой платформе, созданной для ограниченного круга пользователей.
На момент публикации Guardio Labs подтвердила не менее 200 уникальных жертв и начала предупреждать пострадавших о компрометации аккаунтов.