Атаката започва от търсачката

Нова фишинг кампания използва спонсорирани резултати в Google Search, за да компрометира акаунти в ManageWP – платформа на GoDaddy за централизирано управление на WordPress сайтове.

Злонамереният резултат се показва над легитимния при търсене на “managewp”, което значително увеличава вероятността потребителите да кликнат върху него.

AiTM фишинг: ново ниво на компрометиране

За разлика от класическия фишинг, тази кампания използва техника adversary-in-the-middle (AiTM).

Какво означава това на практика:

• фалшивата страница изглежда напълно идентична с оригиналната
• тя действа като proxy в реално време между жертвата и истинската услуга
• въведените данни се прихващат и използват незабавно от атакуващия

Това елиминира нуждата от повторна употреба на откраднати пароли – достъпът се осъществява веднага.

Как се заобикаля 2FA защитата

След въвеждане на потребителско име и парола:

• жертвата получава реалистичен prompt за двуфакторна автентикация (2FA)
• кодът се въвежда в реално време
• атакуващият го използва незабавно за достъп

Така дори активирана 2FA защита не предотвратява компрометирането.

Инфраструктура и контрол на атаката

Изследователите от Guardio Labs установяват, че:

• откраднатите данни се изпращат към канал в Telegram
• атаката се управлява чрез интерактивен C2 панел
• процесът е операторски контролиран, а не напълно автоматизиран

Това показва по-високо ниво на зрялост и таргетираност в сравнение с масовите phishing kits.

Защо ManageWP е ценна цел

ManageWP дава централен достъп до множество сайтове.

Според данните:

• един акаунт може да управлява стотици сайтове
• плъгинът на платформата е активен в над 1 милион WordPress инсталации

Това означава, че компрометирането на един акаунт може да доведе до масово нарушение на сигурността.

Потвърдени жертви и произход

До момента са потвърдени поне 200 жертви.

Интересен детайл е, че в кода на атаката има текст на руски език, включващ:

• отказ от отговорност
• забрана за използване срещу руски системи
• указания за „изследователска употреба“

Това може да подсказва произход или поне културен контекст на разработчиците.

Как да се предпазите

Тази кампания подчертава нуждата от по-строга оперативна хигиена:

• избягвайте достъп до админ панели чрез търсачки
• използвайте директни bookmarks за критични платформи
• внедрете phishing-resistant MFA (например passkeys)
• следете за подозрителни login сесии и нови устройства
• обучавайте екипите за AiTM атаки

Тази кампания показва еволюцията на фишинга – от статични страници към интерактивни, реално-времеви атаки, които могат да заобиколят дори многофакторна защита.

Когато достъпът до една платформа означава контрол върху стотици сайтове, компромисът вече не е локален инцидент, а верижен риск с мащабен ефект.