Sukčiavimo kampanija, teikiama per „Google“ remiamus paieškos rezultatus, nukreipta į „ManageWP“ – „GoDaddy“ platformos, skirtos „WordPress“ svetainių parkams valdyti, kredencialus.
Grėsmės veikėjas taiko priešininko viduryje (AitM) metodą, kai netikras prisijungimo puslapis veikia kaip aukos ir teisėtos „ManageWP“ paslaugos tarpinis serveris realiuoju laiku.
„ManageWP“ yra centralizuota „WordPress“ svetainių nuotolinio administravimo platforma, leidžianti vartotojams valdyti kelias svetaines iš vieno skydelio, o ne prisijungti prie atskirų prietaisų skydelių. Įprasti vartotojai yra žiniatinklio kūrėjai, žiniatinklio agentūros, tvarkančios klientų svetaines, ir įmonės.
„Guardio Labs“ tyrėjai perspėja, kad netikras rezultatas rodomas virš tikrojo „managewp“ užklausos, viliojantis vartotojus, kurie pasitiki „Google“, kad surastų URL prisijungimui prie „ManageWP“.
Šaltinis: Guardio Labs
Vartotojai, spustelėję kenkėjišką rezultatą, patenka į prisijungimo puslapį, kuris atrodo identiškas tikram. Tačiau visi įvesti kredencialai perduodami į „Telegram“ kanalą, kurį kontroliuoja užpuolikas.
Skirtingai nuo įprastų sukčiavimo puslapių, kuriuose fiksuojamos vartotojo vardo ir slaptažodžio poros, kampanija naudoja tiesioginę AiTM sąranką, nes užpuolikas naudoja kredencialus, kad prisijungtų prie platformos realiuoju laiku.
Tada aukai pateikiamas netikras raginimas įvesti dviejų veiksnių autentifikavimo (2FA) kodą, kurį grėsmės veikėjas naudoja norėdamas pasiekti ManageWP paskyrą.
„Guardio Labs“ vyriausiasis tyrėjas Nati Tal „BleepingComputer“ sakė, kad kiekvienoje „ManageWP“ paskyroje paprastai yra šimtai svetainių.
Remiantis WordPress.org statistika, „ManageWP“ papildinys, suteikiantis platformai registruotų svetainių valdymą, yra aktyvus daugiau nei 1 milijone svetainių.
„Guardio Labs“ sugebėjo įsiskverbti į užpuoliko komandų ir valdymo (C2) infrastruktūrą ir pastebėjo išskleidžiamąją komandų sistemą, kuri įgalina interaktyvų ir operatoriaus vykdomą sukčiavimo srautą.
Šaltinis: Guardio Labs
Tal taip pat teigė, kad platforma, atrodo, nėra prekių rinkinio dalis, o veikiau privati sukčiavimo sistema.
Įdomu tai, kad tyrėjas į kodą aptiko rusų kalba sudarytą susitarimą, kuriame autorius smerkia atsakomybę už neteisėtą veiklą, įtrauktas atsakomybės už naudojimąsi šviečiamuoju / moksliniu tyrimu ir draudžia viešai nutekinti skydelio bylas arba naudoti prieš Rusijoje veikiančias sistemas.
„Guardio Labs“ užfiksavo aukų duomenis iš užpuolikų ir pradėjo susisiekti su aukomis, kad įspėtų jas apie apšvitą. Rašymo metu mokslininkai patvirtino 200 unikalių aukų.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
Pretenduokite į savo vietą
