Google Ads werden von Hackern missbraucht, um GoDaddy ManageWP-Anmeldedaten zu stehlen

Da ein einzelner Account so viele Sites steuern kann, gewährt die Entwendung eines einzigen Satzes massiven Einstiegspunkt in ein gesamtes Web-Portfolio. Nach Angaben Worker-Plugin auf mehr als einer Million Websites aktiv, was die Risiken extrem hoch macht. Der Angriff beginnt, sobald ein Nutzer „managewp" in Google eingibt.

Das bösartige gesponserte Ergebnis erscheint ganz oben auf der Seite, direkt über dem legitimen Eintrag. Forscher ersten, die diese Kampagne identifizierten und Alarm schlugen, indem sie warnten, dass selbst vorsichtige Nutzer in die Falle tappen können, da der gefälschte Eintrag so überzeugend platziert ist. Suchen Sie immer noch Ihren Google-Konten-Login? Seien Sie vorsichtig bei „WrongPress"!

Wir haben eine weitere Google-Ads-Phishing-Kampagne entdeckt, die diesmal Suchergebnisse für ManageWP, GoDaddys WordPress-Verwaltungsplattform, missbraucht. Der gefälschte Eintrag befindet sich direkt über dem echten, und schon nach einem Klick landen Sie in einem AiTM… Besonders schwierig ist diese Kampagne zu erkennen, da die gefälschte Login-Seite eine nahezu perfekte Kopie des echten ManageWP-Bildschirms ist.

Für den durchschnittlichen Nutzer gibt es

Für den durchschnittlichen Nutzer gibt es keine offensichtlichen Warnsignale. Sobald ein Opfer seinen Benutzernamen und sein Passwort eingibt, werden diese Zugangsdaten bereits stumm an einen. Hacker missbrauchen Google Ads. Guardio Labs bestätigte zum Zeitpunkt der Veröffentlichung mindestens 200 eindeutige Opfer und arbeitet aktiv daran, die Betroffenen zu informieren.

Das Forschungsteam gelang es zudem, in die Kommando- und Steuerungsinfrastruktur des Angreifers einzudringen, wodurch ihm ein seltenes, Echtzeit-Einblick in den gesamten Ablauf dieser Operation gewährt wurde. Die Infektionskette ist so konzipiert, dass sie sowohl die Werbeerfassungs-Systeme Skepsis echter Nutzer umgeht.

Wenn ein Opfer auf den bösartigen Werbeanzeigen klickt, wird es zunächst durch einen Cloaker geleitet, ein Werkzeug, das automatisierte Inspektoren filtert, während echte Nutzer durchgelassen werden.

Dieser Schritt hilft den Angreifern,

Dieser Schritt hilft den Angreifern, zu verbergen, wer tatsächlich das gesponserte Ergebnis autorisiert hat, und verhindert die Auslösung der Werbeerfassungsmechanismen einen echten Besucher genehmigt, wird dieser auf eine gefälschte ManageWP-Anmeldeseite umgeleitet, wo die Technik des Angreifers in der Mitte (Adversary-in-the-Middle, AiTM) übernimmt.

Der Server des Angreifers fungiert als lebendige Vermittlungsstelle und leitet die gestohlenen Zugangsdaten in Echtzeit an die echte ManageWP-Plattform weiter. Anschließend wird dem Opfer ein gefälschter Prompt angezeigt, der nach dem Zwei-Faktor-Authentifizierungscode fragt, den der Angreifer gleichzeitig nutzt, um die eigentliche Anmeldung abzuschließen und die 2FA damit vollständig wirkungslos zu machen.

Die Operation wird über einen Command-and-Control-Server gesteuert, der dem Angreifer ein Live-Dashboard zur Steuerung laufender Phishing-Sessions bereitstellt. Guardio Labs stellte fest, dass das Kit eher ein privates Framework als ein auf Underground-Foren vertriebener Standardwerkzeug darstellt.

Im Code war zudem eine auf

Im Code war zudem eine auf Russisch verfasste Haftungsausschluss-Notiz enthalten, in der der Autor die Verantwortung für illegale Aktivitäten ablehnt und das Zielen. Das breitere Risiko für WordPress-Betreiber Die Gefahr geht weit über ein einzelnes gestohlenes Passwort hinaus. Da ManageWP eine zentrale Plattform darstellt, kann ein kompromittierter Account einem Angreifer die Kontrolle über Hunderte übertragen.

Nati Tal, leitende Forscherin, bestätigte, dass jede einzelne Domain in der Regel Hunderte öglicht es Angreifern, Malware einzuschleusen, den Datenverkehr umzuleiten oder Besucherdaten in großem Maßstab zu ernten. Sicherheitsexperten empfehlen, bei der Navigation zu Login-Seiten für Dienste, die Sie regelmäßig nutzen, gesponserte Suchergebnisse zu vermeiden.

Es ist weitaus sicherer, die offizielle URL zu speichern oder sie direkt in die Adressleiste des Browsers einzugeben. Benutzer sollten zudem ihre Konten auf unerwartete Logins überwachen und – sofern verfügbar – phishingresistente Authentifizierungsmethoden wie Hardware-Sicherheitsschlüssel in Erwägung ziehen.

Die WrongPress-Kampagne verdeutlicht, dass selbst alltägliche Handlungen wie das Suchen einer Login-Seite ernsthafte Risiken bergen können. Da Angreifer bei der Ausnutzung, ist die Überprüfung, wohin ein Link tatsächlich führt, bevor man darauf klickt, wichtiger denn je. Sie uns auf