Специалисты Guardio Labs выяснили, что злоумышленники продвигают фальшивую страницу входа по запросу «managewp» через рекламные объявления Google. После перехода жертва попадает на копию оригинальной формы авторизации. Введённые логин и пароль сразу отправляются в Telegram-канал, который контролируют организаторы схемы, пишет Securitylab. Кампания использует более сложный сценарий, чем обычный фишинг. Поддельный сайт работает как промежуточный сервер между пользователем и настоящим сервисом ManageWP. Пока владелец аккаунта вводит данные, атакующие в реальном времени проходят авторизацию на официальной платформе. Затем жертве показывают запрос на ввод кода двухфакторной аутентификации, который также перехватывается. ManageWP используют веб-разработчики, агентства и компании, управляющие большим количеством WordPress-сайтов из одной панели. По словам руководителя исследований Guardio Labs Нати Таля, один аккаунт нередко связан с сотнями сайтов. Плагин ManageWP, через который сервис получает доступ к ресурсам клиентов, установлен более чем на миллионе сайтов. Команда Guardio Labs смогла проникнуть в инфраструктуру злоумышленников и изучить работу системы управления атакой. Анализ показал, что операторы вручную контролируют процесс фишинга через специальную панель с интерактивными командами. Авторы отчёта считают, что речь идёт не о массовом наборе инструментов, а о закрытой платформе, созданной для ограниченного круга пользователей. На момент публикации Guardio Labs подтвердила не менее 200 уникальных жертв и начала предупреждать пострадавших о компрометации аккаунтов.
Новая вредоносная кампания нацелена на пользователей ManageWP
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования
Анализ
×