В результатах поиска Google таится большая угроза, от фишинга пострадали сотни пользователей

Исследователи Guardio Labs обнаружили новую фишинговую кампанию. Она нацелена на кражу учётных данных пользователей платформы ManageWP (принадлежит GoDaddy) через спонсируемые результаты поиска Google.

Хакеры размещают вредоносную рекламу, которая при поиске по слову «managewp» располагается выше легитимного результата, и используют атаку «злоумышленник посередине» для перехвата паролей и кодов двухфакторной аутентификации в реальном времени.

ManageWP представляет собой централизованную панель для удалённого администрирования сайтов на WordPress. Она широко востребована веб-разработчиками, агентствами и крупными компаниями, позволяя управлять десятками и сотнями ресурсов из одного интерфейса, не авторизуясь в каждой отдельной системе управления контентом.

Схема атаки, раскрытая главным исследователем Guardio Labs Нати Талом, имитирует стандартный процесс входа. Пользователь, перешедший по поддельному объявлению, попадает на страницу, которая визуально неотличима от настоящей. 

Как только он вводит учётные данные, они транслируются мошенникам через Telegram-канал. Особенность этого фишинга — «живая» настройка AiTM: поддельная страница выступает прокси-сервером, моментально передавая полученный логин и пароль на легитимный сервер ManageWP.

Когда у жертвы запрашивается код двухфакторной аутентификации, он также вводится на фальшивой странице и тут же применяется злоумышленником для завершения входа в аккаунт.

Масштаб потенциального ущерба обусловлен архитектурой платформы. По словам Нати Тала, одна учётная запись ManageWP нередко контролирует сотни сайтов . Согласно статистике WordPress.org, плагин ManageWP Worker активен более чем на миллионе ресурсов, что делает каждую скомпрометированную учётную запись ключом к огромному массиву веб-проектов.

Специалистам Guardio Labs удалось проникнуть в инфраструктуру управления и контроля (C2) атакующих. Они обнаружили интерактивную панель оператора с системой выпадающих команд, что указывает на частный, а не общедоступный характер фишингового инструментария.

Примечательной деталью стало встроенное в код соглашение на русском языке, которое запрещает использование фреймворка против систем, расположенных на территории России, а также снимает с разработчика ответственность за незаконное применение, декларируя исключительно образовательные цели.

На данный момент Guardio Labs подтвердила 200 уникальных пострадавших и продолжает уведомлять их об утечке, получив доступ к данным жертв непосредственно из инфраструктуры злоумышленников.

Инцидент развивается на фоне более ранних наблюдений экспертов: в 2024 году алгоритмы Google уже демонстрировали уязвимость перед злоупотреблениями, продвигая через поисковые эксперименты мошеннические сайты с вредоносными расширениями и спам-кампаниями.