Фишинговая кампания, распространяемая через спонсируемые результаты поиска Google, нацелена на получение учетных данных ManageWP, платформы GoDaddy по управлению сетью WordPress-сайтов.
Хакеры используют подход «Adversary-in-the-middle» (AitM), в случае с которым фейковая страница входа в панель выступает в качестве посредника между жертвой и легитимным сервисом ManageWP.
ManageWP – это централизованная платформа удаленного администрирования для WordPress-сайтов, дающая возможность пользователям управлять несколькими сайтами из одной панели вместо входа в отдельные консоли. Чаще всего к ней обращаются веб-разработчики, веб-агентства, управляющие клиентскими сайтами, а также крупные организации.
Исследователи из Guardio Labs предупреждают, что фейковый результат отображается выше реального для запроса «managewp», заманивая пользователей, которые полагаются на Google для поиска URL-адреса, чтобы войти в ManageWP.
Пользователи, перешедшие по вредоносной ссылке, попадают на страницу входа, которая выглядит идентично настоящей. Однако любые введенные учетные данные пересылаются в Telegram-канал, контролируемый злоумышленником.
В отличие от более популярного метода с фишинговыми страницами, перехватывающими пару логин-пароль, в этой кампании используется AiTM-метод, когда злоумышленник использует учетные данные для входа на платформу в реальном времени.
Затем жертве выдается фейковое окно для ввода 2FA-кода, который взломщик использует для получения доступа к аккаунту ManageWP.
Главный исследователь Guardio Labs Нати Тал сообщил изданию, что на каждом аккаунте ManageWP обычно размещено более сотни сайтов.
Согласно статистике WordPress.org, плагин ManageWP, содержащий инструменты управления над зарегистрированными сайтами, активен более чем на 1 миллионе веб-сайтов.
Специалистам Guardio Labs удалось проникнуть в C2-инфраструктуру злоумышленников, где они обнаружили систему команд, которая обеспечивает интерактивный и управляемый оператором фишинговый процесс.
Тал также отметил, что платформа, по всей видимости, не является частью какого-либо стандартного набора инструментов, а представляет собой приватную фишинговую структуру.
Интересно, что исследователь обнаружил в коде соглашение на русском языке, в котором автор снимает с себя ответственность за противоправную деятельность, добавляет предупреждение об использовании программы только в образовательных/исследовательских целях и запрещает публичную утечку файлов панели или применение против систем, расположенных в России.
Компания Guardio Labs получила данные о жертвах и начала связываться с ними, чтобы предупредить об имеющейся проблеме. На момент написания статьи эксперты подтвердили наличие 200 уникальных жертв фишинга.
Источник: https://www.bleepingcomputer.com
