Phishing kampanja preko Google oglasa cilja ManageWP i GoDaddyjeve WordPress račune

Kampanja krađe vjerodajnica koja se distribuira preko sponzoriranih Googleovih rezultata pretraživanja cilja pristupne podatke za ManageWP, GoDaddyjevu platformu za upravljanje skupinama WordPress web stranica. Prema istraživačima iz Guardio Labsa, lažni rezultat za upit “managewp” prikazuje se iznad stvarnog, a korisnike koji putem Googlea traže adresu za prijavu vodi na stranicu koja izgleda identično kao legitimna.

Riječ je o napadu koji koristi pristup adversary-in-the-middle (AiTM), odnosno lažnu prijavnu stranicu koja u stvarnom vremenu posreduje između žrtve i pravog ManageWP servisa. Kada korisnik unese vjerodajnice, podaci se, prema opisu kampanje, šalju u Telegram kanal pod nadzorom napadača. Nakon toga žrtvi se prikazuje i lažni zahtjev za unos dvofaktorske autentifikacije, a napadač taj kod koristi za pristup računu.

ManageWP je centralizirana udaljena administracijska platforma za WordPress web stranice, pa omogućuje upravljanje više stranica iz jednog sučelja umjesto prijave na odvojene nadzorne ploče. Guardio Labs navodi da jedan ManageWP račun u pravilu hosta stotine stranica, a prema statistikama WordPress.orga njegov dodatak, koji platformi daje kontrolu nad registriranim stranicama, aktivan je na više od milijun web stranica.

Istraživači su, prema navodima, uspjeli infiltrirati infrastrukturu za naredbe i upravljanje napadača te su ondje uočili padajući sustav naredbi koji omogućuje interaktivni i operaterom vođeni phishing. Nati Tal, voditelj istraživanja u Guardio Labsu, rekao je za BleepingComputer da platforma ne izgleda kao dio uobičajenog komercijalnog kompleta, nego kao privatni phishing okvir. U kodu je, prema nalazu istraživača, pronađen i ugovor na ruskom jeziku u kojem autor odbacuje odgovornost za nezakonite aktivnosti, navodi obrazovno/istraživačko dopuštenje i zabranjuje javno curenje datoteka panela ili uporabu protiv sustava sa sjedištem u Rusiji.

Guardio Labs je, prema istom izvješću, prikupio podatke žrtava iz infrastrukture napadača i počeo ih kontaktirati kako bi ih upozorio na izloženost. Istraživači su do trenutka objave potvrdili 200 jedinstvenih žrtava.