Napadači koriste Google oglase za krađu ManageWP naloga preko phishing trikova
Phishing kampanja preko Google oglasa ciljno krade ManageWP naloge koristeći live AitM pristup i 2FA obiman.
Šta se desilo?
Napadači pokrenuli sofisticirano phishing napade kroz sponzorirane Google oglase usmerene na korisnike ManageWP platforme. Lažne stranice za prijavu funkcioniraju kao proxy (AitM - adversary-in-the-middle), što omogućava napadačima da u realnom vremenu presreću i kradu kredencijale, uključujući kodove za dvofaktorsku autentifikaciju.
Koga pogađa?
Preko 1 milion WordPress веб-сајтова je u riziku jer se upravlja preko ManageWP platforme. Vooral ugroženi su veb-razvijači, digitalne agencije koje upravljaju klijentskim sajtovima, kao i kompanije koje koriste ManageWP za centralizovanu administraciju WordPress instalacija. Svaki napadnuti nalog može otkriti pristup stotinama povezanih veb-sajtova.
Kako se zaštititi?
- Pristupite ManageWP direktno preko adresne trake ili bookmarkova - nikada ne klikćite na oglase iz pretraživanja
- Koristite jaku, jedinstvenu lozinku za ManageWP nalog
- Aktivirajte dvofaktorsku autentifikaciju i čuvajte generisane kodove
- Proverite da li je vaš ManageWP nalog kompromitovan kroz zvaničnu saopštenja platforme
- Ostanite oprezni sa oglasima na vrhu Google rezultata pretraživanja
Tehnički detalji
Istraživalci iz Guardio Labs infiltrirali su C2 infrastrukturu i identifikovali prilagođenu phishing framework razvijenu za ograničenu upotrebu. Komanda i kontrola panel sadrži interaktivni sistem za ručno upravljanje napadima. Kod sadrži ugrađeni aranžman na ruskom jeziku što ukazuje na moguće poreklo. Do trenutka istraživanja potvrđeno je 200 jedinstvenih žrtava.
Preporuka Sajber Radara
Ako koristite ManageWP, odmah proverite pristup preko zvanične domene i promenite lozinku. Kontaktirajte GoDaddy ako sumnjate da je vaš nalog kompromitovan. Propagandirайте ove upozorenja kroz svoje tačke kontakta kako bi se sprečilo daljnje širenje napada.
