Uma campanha de phishing distribuída por meio de resultados patrocinados do Google está mirando credenciais do ManageWP, a plataforma da GoDaddy usada para administrar frotas de sites WordPress.
O threat actor está usando uma abordagem de adversary-in-the-middle (AitM), em que a página falsa de login funciona como um proxy em tempo real entre a vítima e o serviço legítimo do ManageWP.
O ManageWP é uma plataforma centralizada de administração remota para sites WordPress, que permite gerenciar vários sites a partir de um único painel, sem a necessidade de acessar dashboards separados.
Entre os usuários mais comuns estão desenvolvedores web, agências que administram sites de clientes e empresas.
Pesquisadores da Guardio Labs alertam que o resultado falso aparece acima do legítimo na busca por “managewp”, atraindo usuários que confiam no Google para encontrar o endereço de acesso ao ManageWP.
Ao clicar no resultado malicioso, a vítima é levada a uma página de login idêntica à original.
No entanto, qualquer credencial digitada é enviada para um canal no Telegram controlado pelo atacante.
Diferentemente das páginas de phishing mais comuns, que capturam pares de usuário e senha, a campanha usa uma configuração ativa de AitM, na qual o atacante utiliza as credenciais para acessar a plataforma em tempo real.
Em seguida, a vítima recebe uma falsa solicitação para inserir o código de autenticação de dois fatores (2FA), que o threat actor usa para obter acesso à conta do ManageWP.
Nati Tal, pesquisador-chefe da Guardio Labs, afirmou que cada conta do ManageWP normalmente hospeda centenas de sites.
De acordo com estatísticas do WordPress.org, o plugin do ManageWP, que concede à plataforma controle sobre os sites registrados, está ativo em mais de 1 milhão de websites.
A Guardio Labs conseguiu se infiltrar na infraestrutura de command and control (C2) do atacante e observou um sistema de comandos em menu suspenso que permite um fluxo de phishing interativo e conduzido por operador.
Tal também afirmou que a plataforma não parece fazer parte de um kit comercial comum, mas sim de um framework privado de phishing.
Curiosamente, o pesquisador encontrou no código um acordo em língua russa no qual o autor se isenta de responsabilidade por atividades ilegais, inclui uma cláusula de uso para fins educacionais e de pesquisa e proíbe o vazamento público dos arquivos do painel ou o uso contra sistemas baseados na Rússia.
A Guardio Labs capturou dados de vítimas obtidos pelos atacantes e começou a contatá-las para alertar sobre a exposição.
Até o momento da publicação, os pesquisadores confirmaram 200 vítimas únicas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...