Confía en el buscador, pero comprueba el enlace: administradores web dejan voluntariamente las claves de sus sitios en manos de Google.
La doble verificación, tan elogiada, no pudo contra el factor humano.
Los estafadores han encontrado una nueva forma de llegar a los administradores de sitios WordPress — directamente a través de la publicidad en Google. Una nueva campaña maliciosa apunta a los usuarios de ManageWP — el servicio de GoDaddy para la gestión centralizada de sitios. El ataque parece especialmente peligroso porque el enlace falso aparece por encima del resultado oficial de búsqueda y es casi indistinguible del sitio real.
Los especialistas de Guardio Labs descubrieron que los atacantes promocionan una página de inicio de sesión falsa para la consulta «managewp» a través de anuncios de Google. Tras hacer clic, la víctima llega a una copia del formulario de autenticación original. El nombre de usuario y la contraseña introducidos se envían inmediatamente a un canal de Telegram controlado por los organizadores del esquema.
La campaña utiliza un método más sofisticado que el phishing habitual. El sitio falso actúa como servidor intermedio entre el usuario y el servicio legítimo de ManageWP. Mientras el propietario de la cuenta introduce sus datos, los atacantes se autentican en la plataforma oficial en tiempo real. A continuación, a la víctima se le muestra una solicitud para introducir el código de autenticación de dos factores, que también es interceptado.
ManageWP lo usan desarrolladores web, agencias y empresas que gestionan un gran número de sitios WordPress desde un mismo panel. Según Nati Tal, directora de investigaciones de Guardio Labs, una cuenta a menudo está vinculada a cientos de sitios. El plugin de ManageWP, a través del cual el servicio obtiene acceso a los recursos de los clientes, está instalado en más de un millón de sitios.
El equipo de Guardio Labs logró infiltrarse en la infraestructura de los atacantes y estudiar el funcionamiento del sistema de gestión del ataque. El análisis mostró que los operadores controlan manualmente el proceso de phishing mediante un panel especial con comandos interactivos. Los autores del informe consideran que no se trata de un conjunto masivo de herramientas, sino de una plataforma cerrada creada para un círculo limitado de usuarios.
Al momento de la publicación, Guardio Labs confirmó al menos 200 víctimas únicas y comenzó a advertir a los afectados sobre la compromisión de sus cuentas.