Der ManageWP-Phishingangriff zielt auf WordPress-Administratoren ab und nutzt bösartige Google Ads, die die legitime ManageWP-Anmeldeseite imitieren.
Forscher entdeckten, dass Angreifer gesponserte Google-Suchergebnisse kaufen, um Nutzer dazu zu verleiten, ihre GoDaddy-Anmeldedaten über gefälschte Login-Portale einzugeben. Die Kampagne richtet sich gezielt an Nutzer von ManageWP, einer zu GoDaddy gehörenden Plattform zur zentralisierten Verwaltung mehrerer WordPress-Websites.
Sicherheitsexperten warnen, dass der Angriff besonders gefährlich ist, da er Echtzeit-Sitzungsabfang statt einfacher Zugangsdaten-Diebstähle verwendet.
Gefälschte Google Ads leiten Opfer auf Phishing-Seiten um
Der ManageWP-Phishingangriff beginnt, wenn Nutzer über Google Search nach Begriffen im Zusammenhang mit ManageWP oder GoDaddy suchen. Angreifer platzieren bösartige gesponserte Anzeigen oberhalb der legitimen Suchergebnisse.
Nutzer, die auf die Anzeigen klicken, werden auf Phishing-Seiten weitergeleitet, die dem offiziellen ManageWP-Loginportal stark ähneln.
Forscher erklären, dass die Phishing-Infrastruktur als Live-Proxy zwischen dem Opfer und dem legitimen Dienst fungiert. Statt lediglich Benutzernamen und Passwörter zu sammeln, fangen die Angreifer Authentifizierungssitzungen in Echtzeit ab.
Diese Methode ermöglicht es Angreifern, gleichzeitig Zugangsdaten und aktive Sitzungsinformationen zu stehlen.
Die Kampagne nutzt Berichten zufolge sogenannte Adversary-in-the-Middle-Phishing-Techniken, die darauf ausgelegt sind, bestimmte traditionelle Kontoschutzmechanismen zu umgehen und Kontoübernahmen zu beschleunigen.
Kompromittierte Konten könnten mehrere Websites betreffen
Der ManageWP-Phishingangriff stellt ein ernstes Risiko für Agenturen, Entwickler und Unternehmen dar, die mehrere WordPress-Websites über zentrale Dashboards verwalten.
ManageWP ermöglicht die Verwaltung von Updates, Plugins, Backups und administrativen Einstellungen zahlreicher Websites über ein einziges Konto. Wenn Angreifer Zugriff auf ein Dashboard erhalten, könnten sie potenziell alle verbundenen Websites kompromittieren.
Forscher warnen davor, dass Angreifer gestohlene Zugänge nutzen könnten, um:
- Bösartige Plugins zu installieren
- Website-Traffic umzuleiten
- Kundendaten zu stehlen
- Schadcode einzuschleusen
- Auf Backups und Konfigurationsdateien zuzugreifen
- Administratoren aus Websites auszusperren
Da viele Agenturen Kundenwebsites über zentrale Systeme verwalten, kann ein einziges kompromittiertes Konto weitreichende Folgen verursachen.
Forscher warnen vor wachsendem werbebasiertem Phishing
Der ManageWP-Phishingangriff spiegelt einen wachsenden Trend wider, bei dem Cyberkriminelle Online-Werbesysteme missbrauchen, um Phishing-Seiten und Malware zu verbreiten.
Gesponserte Suchergebnisse erscheinen häufig oberhalb legitimer Websites und erhöhen dadurch die Wahrscheinlichkeit, dass ahnungslose Nutzer darauf klicken. Forscher sagen, dass Phishingkampagnen immer raffinierter werden, da Angreifer ihre Infrastruktur und Social-Engineering-Methoden verbessern.
Der Einsatz von Adversary-in-the-Middle-Phishing erhöht zudem die Effektivität von Angriffen auf Zugangsdaten. Im Gegensatz zu klassischen Phishing-Seiten können diese Angriffe aktive Login-Sitzungen und Authentifizierungstokens abfangen.
Sicherheitsexperten empfehlen, Anmeldungen über gesponserte Anzeigen möglichst zu vermeiden und stattdessen manuell eingegebene URLs oder vertrauenswürdige Lesezeichen zu verwenden.
So können Nutzer ihre Konten schützen
Forscher empfehlen mehrere Maßnahmen, um das Risiko des ManageWP-Phishingangriffs zu reduzieren.
Nutzer sollten:
- Nicht auf gesponserte Login-Anzeigen klicken
- Domains sorgfältig überprüfen
- Gespeicherte Lesezeichen für Logins verwenden
- Multifaktor-Authentifizierung aktivieren
- Konten auf verdächtige Aktivitäten überwachen
- Unnötige Administratorzugriffe einschränken
Organisationen, die mehrere WordPress-Umgebungen verwalten, sollten außerdem Berechtigungen überprüfen und den Zugriff auf zentrale Dashboards genau überwachen.
Fazit
Der ManageWP-Phishingangriff zeigt, wie Angreifer Google Ads und Echtzeit-Phishing-Infrastrukturen missbrauchen, um WordPress-Administratoren und GoDaddy-Nutzer ins Visier zu nehmen.
Durch die Nachahmung vertrauenswürdiger Login-Portale und das Abfangen aktiver Authentifizierungssitzungen können Angreifer potenziell eine große Anzahl verbundener Websites über ein einziges gestohlenes Konto kompromittieren. Da Phishingkampagnen immer ausgefeilter werden, müssen Organisationen verstärkt auf mehrschichtige Kontoschutzmaßnahmen und sorgfältige URL-Prüfungen setzen.
0 Kommentare zu „ManageWP-Phishingangriff missbraucht Google Ads“