Google Ads zloupotrebljen za phishing GoDaddy ManageWP naloga
Guardio Labs upozorava na phishing kampanju koja preko Google sponzorisanih rezultata cilja korisnike GoDaddy ManageWP platforme za centralizovano upravljanje WordPress sajtovima. Lažni rezultat se prikazuje iznad legitimnog za pretragu „managewp” i vodi korisnike na stranicu koja izgleda kao pravi ManageWP login. Kampanja koristi adversary-in-the-middle pristup, gde lažna stranica u realnom vremenu prosleđuje podatke ka legitimnom servisu, a napadač istovremeno krade korisničko ime, lozinku i 2FA kod. Ukradeni podaci šalju se na Telegram kanal, dok operator kroz privatni phishing framework upravlja tokom napada. Guardio navodi da je potvrdio najmanje 200 jedinstvenih žrtava.
ManageWP nalog često ne znači pristup jednom sajtu, već desetinama ili stotinama WordPress instalacija kojima agencije, developeri i firme upravljaju iz jednog panela. Kada napadač preuzme takav nalog, kompromitacija može brzo preći sa jedne osobe na veliki broj klijentskih sajtova, pluginova, admin naloga i poslovnih okruženja.
- Ne ulaziti na ManageWP preko Google oglasa, već koristiti sačuvan bookmark ili ručno unet zvanični URL
- Za ManageWP i povezane GoDaddy naloge odmah promeniti lozinku ako postoji sumnja da je login unet na lažnoj stranici
- Proveriti 2FA metode, aktivne sesije, povezane korisnike i nepoznate promene u ManageWP nalogu
- Pregledati WordPress sajtove povezane sa nalogom zbog novih admin korisnika, izmenjenih pluginova, web shell fajlova i neuobičajenih promena
- Uvesti interni pravilnik da se administrativni paneli i hosting alati ne otvaraju preko sponzorisanih rezultata pretrage