Phishing über Google-Anzeigen zielt auf ManageWP-Zugänge von GoDaddy

Zusammenfassung

Eine Phishing-Kampagne nimmt über bezahlte Google-Suchergebnisse die Zugangsdaten für ManageWP ins Visier, die WordPress-Verwaltungsplattform von GoDaddy. Über ManageWP lassen sich zahlreiche WordPress-Websites zentral aus einem einzigen Panel steuern, statt sich in einzelne Dashboards einzuloggen – genutzt wird der Dienst vor allem von Webentwicklern, Agenturen mit Kundenseiten und Unternehmen. Nach Angaben der Forscher von Guardio Labs wird die gefälschte Anzeige bei der Suche nach „managewp" oberhalb des echten Treffers ausgespielt und fängt so jene Nutzer ab, die Google verwenden, um die Login-Adresse zu finden. Wer auf den manipulierten Treffer klickt, landet auf einer Anmeldeseite, die der echten zum Verwechseln ähnelt. Eingegebene Daten landen jedoch in einem vom Angreifer kontrollierten Telegram-Kanal. Anders als bei gewöhnlichen Phishing-Seiten, die nur Benutzername und Passwort sammeln, arbeitet die Kampagne mit einem Adversary-in-the-Middle-Verfahren (AitM): Die gefälschte Login-Seite dient als Echtzeit-Proxy zwischen Opfer und dem echten ManageWP-Dienst. Das erlaubt den Angreifern, sich unmittelbar einzuloggen und auch die Zwei-Faktor-Authentifizierung auszuhebeln.

Bei dem Angriff loggt sich der Täter mit den abgefangenen Daten in Echtzeit in die Plattform ein. Anschließend wird dem Opfer eine gefälschte Aufforderung zur Eingabe des Zwei-Faktor-Codes (2FA) eingeblendet. Mit diesem Code verschafft sich der Angreifer schließlich Zugriff auf das ManageWP-Konto.

Die Reichweite eines einzelnen kompromittierten Kontos ist erheblich. Nati Tal, leitender Forscher bei Guardio Labs, erklärte gegenüber BleepingComputer, dass auf einem ManageWP-Konto typischerweise Hunderte von Websites liegen. Laut den Statistiken von WordPress.org ist das ManageWP-Plugin, das der Plattform die Kontrolle über die registrierten Seiten gibt, auf mehr als einer Million Websites aktiv.

Guardio Labs gelang es, in die Command-and-Control-Infrastruktur (C2) der Angreifer einzudringen. Dort beobachteten die Forscher ein Befehlssystem mit Auswahlmenüs, das einen interaktiven, vom Bediener gesteuerten Phishing-Ablauf ermöglicht. Tal zufolge handelt es sich dabei nicht um einen handelsüblichen Baukasten, sondern offenbar um ein privates Phishing-Framework.

Im Code fanden die Forscher zudem eine russischsprachige Vereinbarung. Darin lehnt der Autor jede Verantwortung für illegale Aktivitäten ab, fügt einen Hinweis auf eine angeblich rein bildungs- beziehungsweise forschungsbezogene Nutzung hinzu und untersagt sowohl das öffentliche Weitergeben der Panel-Dateien als auch den Einsatz gegen Systeme in Russland.

Guardio Labs hat Opferdaten von den Angreifern erfasst und damit begonnen, die Betroffenen über die Kompromittierung zu informieren. Zum Zeitpunkt der Veröffentlichung bestätigten die Forscher 200 eindeutige Opfer.

Phishing über Google-Anzeigen zielt auf ManageWP-Zugänge von GoDaddy

Ähnliche Artikel

Neueste Artikel