Ein Phishing-Angriff, der die Vorteile von Google-sponsored-Anzeigen nutzt, hat im Check-in auf WordPress-Website-Administratoren mit ManageWP, die GoDaddy-Plattform, um mehrere Einrichtungen von einem einzigen Panel zu verwalten. Anstelle einer statischen Seite, die nur Anmeldeinformationen stiehlt, haben die Angreifer ein Typschema eingesetzt Adversary-in-the-middle (AitM): Die gefälschte Website fungiert als Echtzeit-Proxy zwischen dem Opfer und dem legitimen Dienst, Erfassung von Benutzer, Passwort und Doppelfaktor-Code bei der Einführung.
Die Wahl von Google Ads als Vektor ist nicht lässig: Sicherheitsforscher haben gezeigt, dass das schädliche Ergebnis über dem legitimen Link angezeigt werden kann, wenn ein Benutzer "managewp" sucht, die das Vertrauen und die Trägheit derjenigen, die Suchmaschinen verwenden, um Zugriff auf ihre Tools zu finden. Durch die Verwendung dieses Pfades verwandeln die Angreifer die tägliche Interaktion in eine sofortige Eingangstür, um die Kontrolle der Konten zu übernehmen, die in der Regel Hunderte von Seiten verwalten.
Das reale Risiko kommt aus der Natur von ManageWP: Es ist ein zentralisiertes Panel mit Fähigkeiten, die Updates, Zugriffe und Automatisierungen auf mehreren WordPress enthalten. Ihr "Arbeiter"-Plugin, das diese Kontrolle bietet, ist in mehr als einer Million Einrichtungen gemäß dem offiziellen WordPress-Repository aktiv, so hat ein Kompromiss-Konto die Fähigkeit, den Schaden gut über einem einzigen Web zu verstärken https: / / wordpress.org / Plugins / Worker /. Die Kampagne wurde öffentlich berichtet und von Sicherheitsmedien dokumentiert, die wiederum die Arbeit der Ermittler ansagen, die die angreifende Infrastruktur verfolgen http://www.bleepingcomputer.com/.
Neben dem Stehlen von Anmeldeinformationen schickten die Betreiber die Informationen an einen Telegram-Kanal und kontrollierten den Betrug durch ein interaktives C2-Panel, das eine gezielte und Echtzeit-Operation erlaubte; es scheint nicht ein generisches kommerzielles Werkzeug, sondern einen privaten Rahmen mit Schnittstelle für den Bediener zu sein. Dieser Grad der "human-in-the-loop" erhöht die Raffinesse: der Angreifer reagiert dynamisch auf die Schritte des Benutzers (z.B. die 2FA anfordern) und beendet die Übernahme des Kontos, während das Opfer noch glaubt, dass es korrekt authentifiziert wird.
Die praktischen Implikationen für Agenturen, Entwickler und Teams, die Kunden verwalten, sind ernst: ein kompromittiertes Konto kann Zugriff auf Plugins und Themen, ermöglichen die Injektion von Back-Türen in mehreren Seiten, aktivieren Spam-Kampagnen oder sogar Lösegeld oder Massenreputation Missbrauch. Deshalb ist es wichtig zu verstehen, dass diese Bedrohung nicht nur "eine andere Phishing-Mail" ist, sondern ein Angriff entworfen, um die 2FA zu verspotten und auf die Zentralisierung der Privilegien zu Kapitalisieren.
Wenn Sie ein ManageWP-Administrator oder WordPress-Management zu skalieren sind, gibt es konkrete und sofortige Maßnahmen, die das Risiko reduzieren: Marke und nur die offizielle Service-URL verwenden(oder besser, Zugriff von einem im Passwort-Administrator gespeicherten Link), aktivieren und priorisieren hardwarebasierte Authentifizierungsmethoden wie FIDO2 / WebAuthn anstelle von SMS- oder TOTP-Codes, wo möglich, und Segmentkonten: es vermeidet die Verwendung des gleichen ManageWP-Kontos für das gesamte Inventar, wenn Sie Berechtigungen delegieren können. Das Plugin "Worker" und zugehörige API-Anmeldeinformationen sollten auch überprüft und aktualisiert werden.
Wenn Sie vermuten, dass Ihr Konto kompromittiert wurde, handeln Sie schnell: Ändern Sie das Passwort von einem sauberen Gerät, widerrufen Sie alle aktiven Sitzungen und ManageWP-Tokens, stellen Sie die Zugangsschlüssel wieder her, überprüfen Sie Aktivitäts- und Auditdaten für nicht autorisierte Aktionen und führen Sie einen Integritätssscan auf verwalteten Websites durch. Im Falle von Site Intrusionsnachweisen, berücksichtigen Sie die Wiederherstellung von vorherigen Backup- und Auditing-Dateien und administrative Benutzer in jeder Installation.
Organisationen und Lieferanten sollten individuelle Praktiken mit technischen Kontrollen ergänzen: DNS-Filter oder Proxies, die verdächtige Domänen blockieren, Ad-Blocking-Richtlinien in Management-Umgebungen, Erkennung von Anomalien in der frühen Sitzung und Alarme auf Änderungen in Kontoeinstellungen. Es ist auch wichtig, betrügerische Anzeigen und Seiten an Google und GoDaddy / ManageWP zu melden, um die Entfernung zu beschleunigen und betroffene Kunden zu warnen, um Anmeldeinformationen zu ändern und ihre Vermögenswerte zu überprüfen.
Schließlich unterstreicht dieser Fall einen Trend: Angreifer investieren in Usability und Echtzeit-Operationen, um traditionelle Kontrollen und Benutzerskeptizismus zu überwinden. Die beste Verteidigung ist nicht einzigartig, aber eine Kombination aus digitale Hygiene (Einzelpasswörter und Manager), starke Authentifizierung (vorzugsweise FIDO / WebAuthn Schlüssel) und organisatorische Steuerungen die den Strahlenradius eines gestohlenen Anmelders begrenzen. Beobachten Sie Zugang, kommunizieren Sie mit Ihren Kunden und behandeln Sie zentralisiertes Management als kritisches Gut, dessen Sicherheit regelmäßige Richtlinien und Bewertungen verdient.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...