Исследователи безопасности Guardio Labs выявили фишинговую кампанию в спонсируемых Google результатах поиска, нацеленную на получение учётных данных для ManageWP. Это платформа GoDaddy для управления парком сайтов WordPress.
Хакеры используют подход «злоумышленник посередине» (AitM), при котором поддельная страница входа выступает в качестве прокси-сервера в реальном времени между жертвой и легитимным сервисом ManageWP.
ManageWP — это централизованная платформа удалённого администрирования для сайтов WordPress, позволяющая пользователям управлять несколькими сайтами из одной панели вместо входа в отдельные панели управления. Ею пользуются веб-разработчики, веб-агентства, управляющие сайтами клиентов, и крупные предприятия.
В Guardio Labs предупреждают, что поддельный результат отображается над реальным для запроса «managewp», заманивая пользователей, которые полагаются на Google для поиска URL-адреса для входа в ManageWP. Те, кто перешёл по вредоносной ссылке, попадают на страницу входа, которая выглядит идентично реальной. Однако любые введённые учётные данные отправляются в Telegram-канал, контролируемый злоумышленником.
В отличие от более распространённых фишинговых страниц, которые перехватывают пары логин-пароль, эта кампания использует живую настройку AiTM (Active Intense — атака на живого человека), и злоумышленник внедряет учётные данные для входа на платформу в режиме реального времени.
Затем жертве предлагается ввести поддельный код двухфакторной аутентификации (2FA), который злоумышленник использует для получения доступа к аккаунту ManageWP.
Главный исследователь Guardio Labs Нати Тал сообщил BleepingComputer, что каждая учётная запись ManageWP обычно контролирует сотни сайтов. Согласно статистике WordPress.org, плагин ManageWP, который предоставляет платформе контроль над зарегистрированными сайтами, активен более чем на 1 млн ресурсов.
В Guardio Labs смогли проникнуть в инфраструктуру управления и контроля (C2) злоумышленников и обнаружили выпадающую систему команд, которая обеспечивает интерактивный и управляемый оператором фишинговый процесс. Тал также отметил, что платформа, по всей видимости, не является частью стандартного набора инструментов, а представляет собой частную фишинговую структуру.
Интересно, что исследователь обнаружил в коде соглашение на русском языке, в котором автор снимает с себя ответственность за противоправную деятельность, включает оговорку об использовании в образовательных/исследовательских целях и запрещает публичную утечку файлов панели или использование против систем, расположенных в России.
Guardio Labs получила данные жертв от злоумышленников и начала связываться с ними, чтобы предупредить об утечке. На данный момент исследователи подтвердили наличие 200 уникальных жертв.
В 2024 году исследователи заметили, что алгоритмы Google в рамках эксперимента Search Generative Experience на основе искусственного интеллекта продвигают мошеннические сайты с вредоносными расширениями Chrome, поддельными подарочными кампаниями, спамом и другие. Сайты, продвигаемые SGE, как правило, использовали TLD .online, одинаковые HTML-шаблоны и одни и те же сайты для выполнения перенаправлений.
ссылка на оригинал статьи https://habr.com/ru/articles/1032368/