В Google появилась новая схема обмана пользователей

Кампания нацелена на пользователей платформы ManageWP — сервиса компании GoDaddy, предназначенного для управления сайтами на WordPress. При поиске запроса «managewp» вредоносная реклама отображается выше официального сайта, что значительно повышает вероятность перехода на поддельный ресурс.

Как работает схема перехвата данных

По данным главного исследователя Guardio Labs Нати Тала, атака построена по модели «злоумышленник посередине» (AiTM).

После перехода по рекламному объявлению пользователь попадает на сайт, который полностью копирует интерфейс оригинального сервиса. Внешне он практически неотличим от настоящей страницы входа ManageWP.

Далее сценарий развивается следующим образом:

• пользователь вводит логин и пароль;
• данные мгновенно передаются злоумышленникам через скрытый канал, включая Telegram;
• система в реальном времени пересылает информацию на сервер ManageWP, создавая иллюзию легитимного входа;
• при запросе двухфакторного кода он также перехватывается и сразу используется для авторизации.

Таким образом, злоумышленники получают полный доступ к аккаунту без необходимости обходить защиту вручную.

Почему атака особенно опасна для веб-разработчиков

ManageWP используется как централизованная панель управления сайтами на WordPress. Через один аккаунт можно администрировать десятки и даже сотни сайтов одновременно.

По оценкам экспертов, плагин ManageWP Worker активен более чем на миллионе сайтов. Это означает, что компрометация одной учётной записи может привести к массовому взлому сразу большого количества веб-ресурсов, включая корпоративные проекты и коммерческие платформы.

Инфраструктура атакующих и скрытые инструменты

Специалисты Guardio Labs смогли получить доступ к панели управления злоумышленников. Она оказалась достаточно развитой и включала интерактивный интерфейс с набором команд, что указывает на профессиональный уровень организации атаки.

Отдельное внимание исследователи обратили на встроенные элементы кода, включая соглашение на русском языке. В нём говорится о запрете использования инструмента против систем, находящихся на территории России, а также присутствует отказ от ответственности за незаконное применение.

Масштаб уже подтверждённых взломов

На текущий момент специалисты подтвердили не менее 200 пострадавших пользователей. Команда Guardio Labs продолжает уведомлять их, используя данные, полученные напрямую из инфраструктуры злоумышленников.

Эксперты отмечают, что реальное число жертв может быть значительно выше, учитывая масштаб распространения вредоносной рекламы и популярность ManageWP.

Уязвимость поисковой рекламы Google

Инцидент вновь поднял вопрос безопасности спонсируемых результатов поиска. Подобные схемы уже фиксировались ранее: в 2024 году злоумышленники использовали рекламные инструменты Google для продвижения вредоносных сайтов и расширений.

Новый случай показывает, что рекламные механизмы по-прежнему остаются одним из наиболее уязвимых каналов для фишинговых атак, особенно когда пользователь доверяет верхним позициям в поисковой выдаче.