Содержание
Атака на пользователей GoDaddy ManageWP пошла через верхнюю строчку поиска: злоумышленники купили рекламу в Google Ads и ведут людей на поддельную страницу входа. Исследователи из Guardio Labs подтвердили уже как минимум 200 пострадавших.
ManageWP — облачный сервис GoDaddy для управления несколькими сайтами на WordPress из одной панели. Им пользуются студии, фрилансеры и компании, у которых десятки проектов. По данным WordPress.org, плагин ManageWP стоит на более чем 1 млн активных сайтов.
Поддельный ManageWP крадёт и пароль, и 2FA-код
Схема выглядит буднично: человек ищет ManageWP в Google и видит спонсируемый результат в самом верху. Клик — и вместо настоящего сайта открывается фейковая посадочная страница, визуально почти неотличимая от легитимной.
Дальше начинается неприятная часть. Фишинговый сценарий собирает не только логин и пароль, но и коды двухфакторной аутентификации (2FA). По данным Guardio Labs, введённые данные в реальном времени пересылаются в аккаунты Telegram, которые контролируют атакующие. Это повышает шанс успеть зайти в учётку до того, как одноразовый код протухнет.
Исследователи нашли кастомный фреймворк с русскоязычными следами
Guardio Labs также сообщила, что получила доступ к инфраструктуре управления атакой. Внутри исследователи увидели выпадающее меню и модульную логику, которая помогает вести жертву по интерактивному фишинговому сценарию.
Этот набор не похож на массовый «комбайн», который продают на форумах. По оценке Guardio Labs, это приватный фишинговый фреймворк, сделанный под конкретные задачи.
Прямую атрибуцию конкретной группе исследователи не дали. Но они нашли русскоязычное пользовательское соглашение, где автор снимает с себя ответственность за незаконное использование и называет проект «учебным». Там же прописан запрет на атаки против россиян и запрет на публичные утечки собранных данных.
Кого целят и почему это неприятно именно для WordPress-рынка
ManageWP часто держит в руках ключи от нескольких проектов сразу. Один удачный вход в панель — и у атакующего появляется шанс дотянуться до клиентских сайтов, админок WordPress и цепочек доступа, которые хранятся в сервисе.
Guardio Labs заявила, что все подтверждённые жертвы уже предупредили об атаке.
Дополнительные технические детали атаки опубликовал BleepingComputer.
