06.05.2026
1 хв
169
Кіберзлочинці запустили нову фішингову кампанію, у якій використовують рекламу Google для викрадення акаунтів користувачів GoDaddy та ManageWP. Люди шукають панель входу для керування сайтами, натискають на рекламне оголошення і потрапляють на підроблені сторінки, які зовні майже не відрізняються від справжніх.
Кіберзлочинці запустили нову фішингову кампанію проти користувачів ManageWP, платформи GoDaddy для централізованого керування WordPress-сайтами. Атака поширюється через рекламу в Google Search і використовує схему «злочинець посередині» (AiTM), яка дозволяє перехоплювати навіть коди двофакторної автентифікації.
Про кампанію повідомили дослідники з Guardio Labs. За їхніми словами, під час пошуку за запитом «managewp» користувачам показується підроблений рекламний результат, який розташовується вище за справжній сайт сервісу. Люди, які звикли шукати сторінку входу через Google, переходять за посиланням і потрапляють на майже ідентичну копію легітимної форми авторизації.
ManageWP використовується для віддаленого адміністрування великої кількості WordPress-сайтів з однієї панелі. Сервіс особливо популярний серед веб-розробників, digital-агентств і компаній, які підтримують сайти клієнтів.
На відміну від класичних фішингових сторінок, де просто збираються логіни та паролі, тут використовується AiTM-механіка в реальному часі. Фальшива сторінка працює як посередник між жертвою та справжнім сервісом ManageWP. Коли користувач вводить свої дані, вони одразу передаються зловмиснику, який паралельно входить у реальний акаунт.
Після цього жертва бачить запит на введення коду двофакторної автентифікації. Цей код також перехоплюється і використовується для завершення входу в акаунт ManageWP.
Усі викрадені облікові дані автоматично надсилаються до Telegram-каналу, який контролюють нападники.
Головний дослідник Guardio Labs Наті Тал розповів BleepingComputer, що один акаунт ManageWP зазвичай містить доступ одразу до сотень сайтів. За даними WordPress.org, плагін ManageWP, через який сервіс взаємодіє з сайтами, зараз активний більш ніж на 1 мільйоні вебресурсів.
Під час розслідування фахівцям вдалося проникнути в інфраструктуру командування та управління зловмисників. Усередині вони виявили систему команд, яка забезпечує інтерактивний процес фішингу з ручним керуванням оператором.
За словами Тала, ця платформа більше схожа не на типовий публічний фішинговий набір, а на приватну систему, створену для закритого використання.
Дослідники також звернули увагу на цікаву деталь. У коді платформи була знайдена російськомовна угода, де автори знімають із себе відповідальність за незаконну діяльність, заявляють про «освітні та дослідницькі цілі» і окремо забороняють використовувати систему проти російських ресурсів або публічно зливати файли панелей.
Guardio Labs уже отримала дані частини постраждалих користувачів від самих зловмисників і почала попереджати жертв про компрометацію акаунтів. На момент публікації дослідники підтвердили щонайменше 200 унікальних жертв цієї кампанії.
