Um ataque de phishing aproveitando anúncios patrocinados no Google colocou em jaque administradores de sites WordPress que usam o ManageWP, a plataforma da GoDaddy para gerenciar múltiplas instalações de um único painel. Em vez de uma página estática que só rouba credenciais, os atacantes lançaram um esquema de tipo adversary-in-the-middle (AitM): a web falsa atua como proxy em tempo real entre a vítima e o serviço legítimo, capturando usuário, senha e o código de duplo fator quando introduzido.
A escolha do Google Ads como vetor não é casual: os pesquisadores de segurança demonstraram que o resultado malicioso pode ser mostrado acima do link legítimo quando um usuário busca "managewp", o que explora a confiança e a inércia dos que recorrem a buscadores para localizar o acesso às suas ferramentas. Ao usar este caminho os atacantes convertem uma interação cotidiana em uma porta de entrada imediata para tomar controle de contas que habitualmente administram centenas de sites.
O risco real vem pela própria natureza de ManageWP: é um painel centralizado com capacidades que cobrem atualizações, acessos e máquinas sobre múltiplos WordPress. Seu plugin "worker", que fornece esse controle, está ativo em mais de um milhão de instalações segundo o repositório oficial do WordPress, pelo que uma conta comprometida tem capacidade de amplificar os danos muito acima de uma única web https://wordpress.org/plugins/worker/. A campanha foi relatada publicamente e documentada por meios de segurança, que por sua vez citam o trabalho dos pesquisadores que rastrearam a infraestrutura atacante https://www.bleepingcomputer.com/.
Além de roubar credenciais, os operadores enviavam as informações a um canal do Telegram e controlavam a fraude através de um painel C2 interativo que permitia uma operação dirigida e em tempo real; não parece ser uma ferramenta comercial genérica, mas sim uma framework privada com interface para o operador. Esse grau de “human-in-the-loop” eleva a sofisticação: o atacante responde dinamicamente aos passos do usuário (por exemplo, solicitando o 2FA) e completa a tomada de controle da conta enquanto a vítima ainda acredita estar se autenticando corretamente.
As implicações práticas para agências, desenvolvedores e equipamentos que gerenciam clientes são sérias: uma conta comprometida pode dar acesso a plugins e temas, permitir a injeção de portas traseiras em múltiplos sites, ativar campanhas de spam ou até mesmo implantar ransomware ou abusos de reputação em massa. Por isso é imprescindível compreender que esta ameaça não é apenas "outro e-mail de phishing", mas um ataque projetado para burlar o 2FA e capitalizar a centralização de privilégios.
Se você é administrador de ManageWP ou gerencia WordPress em escala, há medidas concretas e imediatas que reduzem o risco: marca e usa exclusivamente o URL oficial do serviço(ou melhor, acede a partir de uma ligação gravada no administrador de senhas), habilita e prioriza métodos de autenticação baseados em hardware como FIDO2/WebAuthn em vez de SMS ou códigos TOTP quando possível, e segmenta contas: evita usar a mesma conta de ManageWP para todo o inventário se você pode delegar permissões. Também convém rever e atualizar o plugin "worker" e as credenciais de API associadas.
Se você suspeitar que sua conta foi comprometida, age rapidamente: muda a senha de um dispositivo limpo, revoga todas as sessões ativas e tokens de ManageWP, restabelece ou reemite as chaves de acesso, revisa registros de atividade e auditoria em busca de ações não autorizadas e executa uma digitalização de integridade nos sites gerenciados. Em caso de evidência de intrusão nos sites, considera restaurar desde cópias de segurança prévias e auditar arquivos e usuários administrativos em cada instalação.
Organizações e fornecedores deveriam complementar as práticas individuais com controles técnicos: filtros de DNS ou proxies que blocom domínios suspeitos, políticas de bloqueio de anúncios em ambientes de administração, detecção de anomalias no início de sessão e alertas sobre mudanças na configuração de contas. Também é vital reportar anúncios e páginas fraudulentas ao Google e à GoDaddy/ManageWP para acelerar a remoção, e avisar clientes afetados para mudar credenciais e rever seus ativos.
Finalmente, este caso sublinha uma tendência: os atacantes investem em usabilidade e operações em tempo real para sortear controles tradicionais e o ceticismo do usuário. A melhor defesa não é única, mas sim uma combinação de higiene digital (contrasenhas únicas e gestores), autenticação forte (preferir chaves FIDO/WebAuthn) e controles organizacionais que limitem o blast radius de uma credencial roubada. Vigia os acessos, comunica seus clientes e trata a gestão centralizada como um ativo crítico cuja segurança merece políticas e revisões periódicas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...