- 26,738
- 46
- 8 Ноя 2022
Хвалёная двойная проверка оказалась бессильна перед человеческим фактором.
Мошенники нашли новый способ добраться до администраторов WordPress-сайтов — прямиком через рекламу в Google. Новая вредоносная кампания нацелена на пользователей ManageWP — сервиса GoDaddy для централизованного управления сайтами. Атака выглядит особенно опасной из-за того, что поддельная ссылка появляется выше официального результата поиска и почти неотличима от настоящего сайта.
Специалисты Guardio Labs выяснили , что злоумышленники продвигают фальшивую страницу входа по запросу «managewp» через рекламные объявления Google . После перехода жертва попадает на копию оригинальной формы авторизации. Введённые логин и пароль сразу отправляются в Telegram-канал, который контролируют организаторы схемы.
Кампания использует более сложный сценарий, чем обычный фишинг . Поддельный сайт работает как промежуточный сервер между пользователем и настоящим сервисом ManageWP. Пока владелец аккаунта вводит данные, атакующие в реальном времени проходят авторизацию на официальной платформе. Затем жертве показывают запрос на ввод кода двухфакторной аутентификации, который также перехватывается.
ManageWP используют веб-разработчики, агентства и компании, управляющие большим количеством WordPress-сайтов из одной панели. По словам руководителя исследований Guardio Labs Нати Таля, один аккаунт нередко связан с сотнями сайтов. Плагин ManageWP, через который сервис получает доступ к ресурсам клиентов, установлен более чем на миллионе сайтов.
Команда Guardio Labs смогла проникнуть в инфраструктуру злоумышленников и изучить работу системы управления атакой. Анализ показал, что операторы вручную контролируют процесс фишинга через специальную панель с интерактивными командами. Авторы отчёта считают, что речь идёт не о массовом наборе инструментов, а о закрытой платформе, созданной для ограниченного круга пользователей.
На момент публикации Guardio Labs подтвердила не менее 200 уникальных жертв и начала предупреждать пострадавших о компрометации аккаунтов.
Мошенники нашли новый способ добраться до администраторов WordPress-сайтов — прямиком через рекламу в Google. Новая вредоносная кампания нацелена на пользователей ManageWP — сервиса GoDaddy для централизованного управления сайтами. Атака выглядит особенно опасной из-за того, что поддельная ссылка появляется выше официального результата поиска и почти неотличима от настоящего сайта.
Специалисты Guardio Labs выяснили , что злоумышленники продвигают фальшивую страницу входа по запросу «managewp» через рекламные объявления Google . После перехода жертва попадает на копию оригинальной формы авторизации. Введённые логин и пароль сразу отправляются в Telegram-канал, который контролируют организаторы схемы.
Кампания использует более сложный сценарий, чем обычный фишинг . Поддельный сайт работает как промежуточный сервер между пользователем и настоящим сервисом ManageWP. Пока владелец аккаунта вводит данные, атакующие в реальном времени проходят авторизацию на официальной платформе. Затем жертве показывают запрос на ввод кода двухфакторной аутентификации, который также перехватывается.
ManageWP используют веб-разработчики, агентства и компании, управляющие большим количеством WordPress-сайтов из одной панели. По словам руководителя исследований Guardio Labs Нати Таля, один аккаунт нередко связан с сотнями сайтов. Плагин ManageWP, через который сервис получает доступ к ресурсам клиентов, установлен более чем на миллионе сайтов.
Команда Guardio Labs смогла проникнуть в инфраструктуру злоумышленников и изучить работу системы управления атакой. Анализ показал, что операторы вручную контролируют процесс фишинга через специальную панель с интерактивными командами. Авторы отчёта считают, что речь идёт не о массовом наборе инструментов, а о закрытой платформе, созданной для ограниченного круга пользователей.
На момент публикации Guardio Labs подтвердила не менее 200 уникальных жертв и начала предупреждать пострадавших о компрометации аккаунтов.
- Источник новости
- www.securitylab.ru
