PhishingHackerangriffeCyberkriminalität

Gefährliche Phishing-Kampagne gegen ManageWP: Hacker nutzen Google-Anzeigen zur Kontodaten-Abfischung

Von CyberDeutsch Redaktion
Gefährliche Phishing-Kampagne gegen ManageWP: Hacker nutzen Google-Anzeigen zur Kontodaten-Abfischung
Zusammenfassung

Einer cleveren Phishing-Kampagne, die über Google-Werbeanzeigen verbreitet wird, ist es gelungen, Zehntausende WordPress-Websiteadministratoren ins Visier zu nehmen. Die Angreifer nutzen manipulierte Google-Suchergebnisse, um Nutzer auf eine täuschend echte Phishing-Seite für ManageWP zu locken – eine Plattform der Firma GoDaddy, die es Webagenturen, Developern und Unternehmen ermöglicht, hunderte WordPress-Websites zentral zu verwalten. Die Besonderheit dieses Angriffs liegt in der sogenannten Adversary-in-the-Middle-Technik: Die gefälschte Anmeldungsseite fungiert als aktiver Proxy zwischen dem Opfer und dem echten ManageWP-Service. Dies ermöglicht es den Kriminellen, nicht nur Zugangsdaten zu stehlen, sondern auch Zwei-Faktor-Authentifizierungscodes in Echtzeit abzufangen und damit volle Kontrolle über die Konten zu erlangen. Da jedes ManageWP-Konto typischerweise Hunderte von Websites verwaltet und die Plattform auf über einer Million Websites aktiv ist, könnte eine erfolgreiche Kompromittierung drastische Folgen haben. Deutsche Unternehmen und Agenturen, die WordPress-Flotten via ManageWP administrieren, sind potenziell genauso gefährdet wie ihre internationalen Pendants.

Die Sicherheitsforscher von Guardio Labs haben die Kampagne analysiert und alarmierende technische Details enthüllt. Wenn ein Nutzer auf die manipulierte Anzeige klickt, wird er auf eine täuschend echte ManageWP-Login-Seite weitergeleitet. Diese Seite ist visuell identisch mit dem Original – ein häufiger Trick im Phishing-Arsenal. Der entscheidende Unterschied liegt in der Hintergrund-Architektur: Alle eingegebenen Zugangsdaten werden nicht lokal gespeichert, sondern in Echtzeit an einen von den Angreifern kontrollierten Telegram-Kanal übermittelt.

Das Raffinierte an diesem Angriff ist die Live-Proxy-Technik. Der Angreifer nutzt die gestohlenen Zugangsdaten sofort, um sich selbst im echten ManageWP-System anzumelden. Dem ahnungslosen Opfer wird daraufhin eine Abfrage für den Zwei-Faktor-Authentifizierungscode (2FA) präsentiert – allerdings eine gefälschte. Der Benutzer gibt seinen 2FA-Code ein, in guter Absicht sein Konto zu sichern, liefert aber genau die letzte Information, die der Angreifer braucht, um vollständigen Zugriff zu erlangen.

Bis zum Zeitpunkt der Veröffentlichung haben die Forscher bereits 200 eindeutig identifizierte Opfer dokumentiert. Die hohe Zahl der betroffenen Websites dürfte deutlich höher liegen, da jedes ManageWP-Konto im Durchschnitt hunderte verwaltete Seiten repräsentiert. Guardio Labs ist es gelungen, in die Kommando- und Kontrollinfrastruktur (C2) der Angreifer einzudringen und ein Dropdown-Befehlssystem zu identifizieren, das eine interaktive, von Operatoren gesteuerte Phishing-Arbeitsweise ermöglicht.

Besonders interessant für Sicherheitsexperten: Der Code enthält eine in Russisch verfasste Vereinbarung, in der der Autor Verantwortung für illegale Aktivitäten ablehnt und Public-Leaks sowie Angriffe gegen russische Systeme verbietet. Das deutet auf ein privates Phishing-Framework hin, nicht auf ein Commodity-Toolkit aus dem Dark Web. Guardio Labs hat bereits damit begonnen, Opfer zu kontaktieren und sie über ihre Gefährdung zu informieren.

Für deutsche Nutzer und Unternehmen empfiehlt sich dringende Wachsamkeit: Immer direkt in die Browser-Lesezeichen navigieren, nicht über Google-Suchergebnisse. Verdächtige Login-Anfragen sollten sofort dem ManageWP-Support gemeldet werden. Betroffene Konten erfordern sofortige Passwortänderungen und Sicherheitsaudits aller verwalteten Websites.

Ähnliche Artikel