- Los ciberdelincuentes están haciendo un mal uso de los anuncios de Google para atraer a los usuarios de ManageWP a páginas de inicio de sesión falsas
- Los flujos de phishing capturan credenciales y códigos 2FA y los transmiten a cuentas de Telegram controladas por atacantes.
- Los investigadores han encontrado un marco de phishing personalizado en ruso, con al menos 200 víctimas confirmadas hasta el momento.
Los investigadores de seguridad han afirmado que los ciberdelincuentes se dirigen a los usuarios de ManageWP a través de una serie de resultados de búsqueda maliciosos patrocinados por anuncios de Google.
ManageWP es el servicio basado en la nube de GoDaddy que permite a los usuarios administrar múltiples sitios de WordPress desde un único panel. Entre sus usuarios se incluyen desarrolladores web, empresas que administran varios sitios web para sus clientes y empresas que requieren varios sitios para sus negocios. Según WordPress.org, el complemento de ManageWP está instalado en más de un millón de sitios web activos.
Los investigadores de seguridad de Guardio Labs dijeron que encontraron una página de inicio falsa diseñada para engañar a los usuarios para que compartieran no solo sus credenciales de inicio de sesión, sino también códigos 2FA. Los delincuentes pudieron manipular los anuncios de la página en Google, por lo que cada vez que alguien buscaba ManageWP (o, tal vez, servicios similares), se les mostraba un resultado malicioso en la parte superior.
¿Actores de amenazas rusos?
A aquellos que no detectan la estafa (al analizar la URL a la que están siendo redirigidos) se les muestra un sitio que parece casi idéntico al legítimo y, si inician sesión, sus credenciales se transmiten a una cuenta de Telegram propiedad de un regulador.
Guardio Labs también dijo que pudo acceder a la infraestructura de comando y control (C2) de los actores de amenazas, al ver un menú desplegable que permite un flujo de phishing modular e interactivo. Sin embargo, la plataforma no parece formar parte de un kit de productos: los investigadores creen que se trata de una estructura de phishing personal.
Los investigadores no atribuyeron el ataque ni la plataforma a ningún actor de amenaza específico, pero sí encontraron algo intrigante. La plataforma tiene un acuerdo de usuario escrito en ruso, donde el creador renuncia a cualquier responsabilidad por comportamiento ilegal y declara que la plataforma está creada únicamente para uso educativo y de investigación.
Los términos de servicio prohíben utilizar la plataforma contra rusos y filtrar públicamente los datos generados.
En el momento de redactar este informe, se han confirmado al menos 200 víctimas. Todos ellos han sido advertidos sobre el ataque.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
