Une attaque d'hameçonnage profitant des annonces sponsorisées par Google a mis en échec les administrateurs de site WordPress en utilisant ManageWP, la plateforme GoDaddy pour gérer plusieurs installations à partir d'un seul panneau. Au lieu d'une page statique qui vole seulement les identifiants, les attaquants ont déployé un schéma de type adversaire dans le milieu (AitM): le site fausse agit comme un proxy en temps réel entre la victime et le service légitime, en saisissant l'utilisateur, le mot de passe et le code de facteur double lors de l'introduction.
Le choix de Google Ads comme vecteur n'est pas occasionnel: les chercheurs en sécurité ont montré que le résultat malveillant peut être montré au-dessus du lien légitime lorsqu'un utilisateur cherche "managewp", qui explore la confiance et l'inertie de ceux qui utilisent des moteurs de recherche pour localiser l'accès à leurs outils. En utilisant ce chemin, les attaquants transforment l'interaction quotidienne en une porte d'entrée immédiate pour prendre le contrôle des comptes qui gèrent habituellement des centaines de sites.
Le risque réel vient de la nature même de ManageWP : il s'agit d'un panel centralisé avec des capacités qui incluent des mises à jour, des accès et des automatisations sur WordPress multiple. Votre plugin "worker", qui fournit ce contrôle, est actif dans plus d'un million d'installations selon le dépôt WordPress officiel, donc un compte compromis a la capacité d'amplifier les dégâts bien au-dessus d'un seul web https: / / wordpress.org / plugins / worker /. La campagne a été publiquement signalée et documentée par les médias de sécurité, qui citent à leur tour le travail des enquêteurs qui ont suivi l'infrastructure d'attaque. https: / / www.bleepingcomputer.com /.
En plus de voler des références, les opérateurs ont envoyé l'information à un canal Telegram et contrôlé l'escroquerie à travers un panneau C2 interactif qui a permis une opération ciblée et en temps réel; il ne semble pas être un outil commercial générique mais un cadre privé avec interface pour l'opérateur. Ce degré d'"humain dans la boucle" augmente la sophistication: l'agresseur répond dynamiquement aux étapes de l'utilisateur (par exemple demander la 2FA) et complète le rachat du compte alors que la victime croit toujours qu'il est authentifié correctement.
Les implications pratiques pour les agences, les développeurs et les équipes qui gèrent les clients sont graves: un compte compromis peut donner accès aux plugins et aux thèmes, permettre l'injection de portes arrière dans plusieurs sites, activer des campagnes de spam ou même déployer des ransomwares ou des abus de réputation de masse. C'est pourquoi il est essentiel de comprendre que cette menace n'est pas seulement « un autre courrier d'hameçonnage », mais une attaque conçue pour se moquer de la 2FA et capitaliser sur la centralisation des privilèges.
Si vous êtes un administrateur ManageWP ou une gestion WordPress à l'échelle, il existe des mesures concrètes et immédiates qui réduisent le risque : marque et n'utiliser que l'URL du service officiel(ou mieux, accès à partir d'un lien sauvegardé dans l'administrateur de mot de passe), activer et prioriser les méthodes d'authentification matérielles telles que FIDO2 / WebAuthn au lieu de codes SMS ou TOTP si possible, et les comptes de segment: il évite d'utiliser le même compte ManageWP pour l'ensemble de l'inventaire si vous pouvez déléguer des autorisations. Le plugin "worker" et les identifiants API associés doivent également être examinés et mis à jour.
Si vous soupçonnez que votre compte a été compromis, agissez rapidement : changez le mot de passe d'un appareil propre, retirez toutes les sessions actives et jetons GérezWP, rétablissez ou rééditez les clés d'accès, examinez les activités et les dossiers de vérification pour les actions non autorisées et effectuez une analyse d'intégrité sur les sites gérés. En cas d'intrusion dans le site, envisager de restaurer des fichiers de sauvegarde et de vérification antérieurs et des utilisateurs administratifs dans chaque installation.
Les organisations et les fournisseurs devraient compléter les pratiques individuelles par des contrôles techniques : DNS filtre ou proxie qui bloque les domaines suspects, annonce politiques de blocage dans les environnements de gestion, détection d'anomalies dans les premières sessions et alertes sur les changements dans les paramètres de compte. Il est également vital de signaler les annonces frauduleuses et les pages à Google et GoDaddy / ManageWP pour accélérer la suppression, et d'avertir les clients touchés de changer les références et d'examiner leurs actifs.
Enfin, ce cas met en évidence une tendance : les attaquants investissent dans la convivialité et les opérations en temps réel pour surmonter les contrôles traditionnels et le scepticisme des utilisateurs. La meilleure défense n'est pas unique, mais une combinaison de hygiène numérique (mots de passe et gestionnaires uniques), authentification forte (préférez les clés FIDO / WebAuthn) et contrôles organisationnels qui limitent le rayon d'explosion d'un titre volé. Regardez l'accès, communiquez à vos clients et traitez la gestion centralisée comme un atout essentiel dont la sécurité mérite des politiques et des examens réguliers.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...