Cybercriminelen maken misbruik van gesponsorde zoekresultaten in Google om inloggegevens van gebruikers van ManageWP buit te maken. Dat melden onderzoekers van beveiligingsbedrijf Guardio Labs. De aanval richt zich op beheerders van grote aantallen WordPress-websites en maakt gebruik van een geavanceerde phishingtechniek waarbij slachtoffers ongemerkt hun accountgegevens én tweefactorauthenticatiecodes afstaan.
ManageWP, onderdeel van GoDaddy, is een populair platform waarmee webontwikkelaars, digitale bureaus en bedrijven meerdere WordPress-sites vanuit één centraal dashboard kunnen beheren. In plaats van afzonderlijk in te loggen op verschillende websites, kunnen gebruikers via ManageWP updates uitvoeren, beveiligingsinstellingen aanpassen en onderhoud beheren voor complete websiteportefeuilles.
Google-advertenties
Volgens Guardio Labs verschijnen de frauduleuze Google-advertenties boven het echte zoekresultaat wanneer gebruikers zoeken op termen als ‘managewp’. Daardoor klikken nietsvermoedende gebruikers eerder op de nepwebsite dan op de legitieme pagina.
De vervalste website is vrijwel niet van echt te onderscheiden. Toch gaat het niet om een standaard phishingpagina die alleen gebruikersnamen en wachtwoorden verzamelt. De aanvallers maken gebruik van een zogeheten adversary-in-the-middle-aanval, waarbij de nepwebsite fungeert als een live tussenstation tussen slachtoffer en de echte dienst.
Telegram-kanaal
Op het moment dat een gebruiker zijn inloggegevens invoert, worden deze direct doorgestuurd naar een Telegram-kanaal dat onder controle staat van de hackers. Tegelijkertijd gebruiken de criminelen die gegevens onmiddellijk om in te loggen op het echte ManageWP-platform. Wanneer het systeem vervolgens om een tweefactorauthenticatiecode vraagt, krijgt ook het slachtoffer een identieke prompt te zien. De ingevoerde code wordt daarna direct door de aanvallers gebruikt om volledige toegang tot het account te verkrijgen.
Volgens hoofdonderzoeker Nati Tal van Guardio Labs kan één ManageWP-account toegang geven tot honderden websites tegelijk. Dat maakt de aanval potentieel bijzonder schadelijk. Het bijbehorende ManageWP-plugin draait volgens cijfers van WordPress.org op meer dan één miljoen websites wereldwijd.
Uitgebreid controlesysteem
De onderzoekers slaagden erin om binnen te dringen in de infrastructuur van de aanvallers en ontdekten een uitgebreid controlesysteem waarmee phishingaanvallen handmatig kunnen worden aangestuurd. Volgens Guardio gaat het vermoedelijk niet om een standaard phishingpakket dat op criminele marktplaatsen circuleert, maar om een privaat ontwikkeld platform.
Opmerkelijk genoeg troffen onderzoekers in de broncode een Russischtalige disclaimer aan. Daarin verklaart de maker geen verantwoordelijkheid te dragen voor illegale activiteiten en wordt expliciet verboden om systemen in Rusland aan te vallen. Guardio Labs heeft inmiddels gegevens van slachtoffers verzameld en is begonnen betrokkenen te waarschuwen. Tot nu toe zijn minstens tweehonderd unieke slachtoffers geïdentificeerd.