Thought Leadership
Hacker missbrauchen Google Ads, um ManageWP-Nutzer mit täuschend echten Login-Seiten zu ködern.
Sicherheitsforscher von Guardio Labs haben eine gezielte Phishing-Kampagne aufgedeckt, die Nutzer von ManageWP ins Visier nimmt. ManageWP ist eine zentrale Verwaltungsplattform von GoDaddy, mit der Webentwickler und Agenturen Hunderte von WordPress-Webseiten gleichzeitig verwalten können. Die Angreifer nutzen manipulierte Werbeanzeigen in der Google-Suche, um Opfer auf bösartige Login-Seiten zu leiten. Durch den Einsatz von „Adversary-in-the-Middle“-Techniken (AiTM) sind die Täter in der Lage, nicht nur Benutzernamen und Passwörter abzugreifen, sondern auch die Zwei-Faktor-Authentisierung (2FA) in Echtzeit zu umgehen.
Die Masche mit gesponserten Anzeigen
Der Angriff beginnt bei der herkömmlichen Google-Suche. Nutzer, die nach dem Begriff „managewp“ suchen, erhalten als oberstes Ergebnis eine gesponserte Anzeige. Diese Anzeige erscheint prominent über dem organischen, legitimen Suchergebnis von GoDaddy. Für Anwender, die gewohnt sind, den ersten Link anzuklicken, um zum Login-Dashboard zu gelangen, ist die Gefahr unmittelbar.
Die Anzeige leitet das Opfer auf eine Website weiter, deren Benutzeroberfläche exakt der originalen ManageWP-Login-Seite nachempfunden ist. Laut Guardio Labs ist die optische Täuschung nahezu perfekt, da sämtliche Logos, Schriftarten und Layout-Elemente des Originals übernommen wurden. Da ManageWP primär von professionellen Anwendern wie Agenturen und IT-Dienstleistern genutzt wird, ist das Schadpotenzial bei einem erfolgreichen Kontozugriff überproportional hoch.
Berugsseite als Echtzeit-Proxy
Im Gegensatz zu klassischen Phishing-Seiten, die lediglich Zugangsdaten in einer statischen Datenbank speichern, setzt diese Kampagne auf ein AiTM-Verfahren. Die betrügerische Seite fungiert dabei als Echtzeit-Proxy zwischen dem Nutzer und dem echten ManageWP-Server. Sobald das Opfer seine Anmeldedaten eingibt, leitet der Server des Angreifers diese sofort an die legitime Plattform weiter.
Dieser Prozess ermöglicht es den Angreifern, eine aktive Sitzung aufzubauen. Da der Angriff in Echtzeit erfolgt, bemerkt der Nutzer keine Verzögerung. Der entscheidende Vorteil dieser Methode für die Hacker liegt darin, dass sie nicht nur die Zugangsdaten erhalten, sondern auch die Sitzungs-Cookies abgreifen können, die den dauerhaften Zugriff auf das Konto ermöglichen.
Umgehung der Zwei-Faktor-Authentisierung (2FA)
Die größte Hürde für Cyberkriminelle ist üblicherweise die Zwei-Faktor-Authentisierung. In dieser Kampagne wird die 2FA jedoch systematisch ausgehebelt. Wenn ManageWP nach der Eingabe des Passworts einen Sicherheitscode (z. B. via App oder SMS) verlangt, zeigt die Phishing-Seite dem Nutzer ebenfalls ein entsprechendes Eingabefeld an.
Der vom Nutzer eingegebene 2FA-Code wird unmittelbar an den Hacker weitergeleitet, der ihn innerhalb weniger Sekunden auf der echten Website verwendet. Damit wird die zusätzliche Sicherheitsebene neutralisiert. Da der Angreifer den Code im selben Moment nutzt, in dem der Nutzer ihn eingibt, verfällt die zeitlich begrenzte Gültigkeit des Einmalpassworts nicht.
Command-and-Control via Telegram
Die technische Analyse der Infrastruktur durch Guardio Labs zeigt eine hohe Professionalität. Die gestohlenen Daten werden nicht auf herkömmlichen Webservern gespeichert, sondern direkt an einen vom Angreifer kontrollierten Telegram-Kanal gesendet. Telegram dient hierbei als effizientes und schwer zu blockierendes Command-and-Control-System (C2).
Die Forscher konnten Einblick in das C2-Panel der Angreifer gewinnen. Dieses ist interaktiv gestaltet und ermöglicht dem Operator über ein Dropdown-Menü die direkte Steuerung des Phishing-Flows. So kann der Angreifer manuell entscheiden, wann er den 2FA-Code anfordert oder ob er das Opfer nach dem Login auf eine andere Seite weiterleitet, um den Betrug zu verschleiern. Laut Nati Tal, Forschungsleiter bei Guardio Labs, deutet alles auf ein privates Phishing-Framework hin, das nicht als Massenware (Commodity Kit) gehandelt wird.
Gefährdung von über einer Million WordPress-Instanzen
Die Reichweite dieses Angriffs ist beträchtlich. Das ManageWP-Plugin, welches die Verbindung zwischen der Plattform und den einzelnen Webseiten herstellt, ist laut offiziellen Statistiken von WordPress.org auf mehr als einer Million Webseiten aktiv. Ein einziger kompromittierter ManageWP-Account kann den Angreifern die volle Kontrolle über Hunderte von Kunden-Webseiten geben.
Mit diesem Zugriff könnten Hacker Schadcode injizieren, Kundendaten stehlen oder die Webseiten für die Verbreitung von weiterer Malware nutzen. Es konnten bereits 200 eindeutige Opfer identifiziert werden. Guardio Labs hat damit begonnen, die betroffenen Nutzer und Unternehmen direkt zu kontaktieren, um sie vor dem unbefugten Zugriff zu warnen.
Herkunft des Phishing aus russischsprachigen Raum wahrscheinlich
Interessanterweise entdeckten die Forscher im Quellcode des Phishing-Panels eine Vereinbarung in russischer Sprache. Darin lehnt der Autor des Codes jegliche Verantwortung für illegale Aktivitäten ab und deklariert die Software als Werkzeug für „Bildungs- und Forschungszwecke“. Zudem enthält der Text eine Klausel, die den Einsatz des Systems gegen Ziele in Russland untersagt und die Veröffentlichung der Panel-Dateien verbietet.
Solche Disclaimers sind in der Malware-Szene häufig anzutreffen, bieten jedoch keinen rechtlichen Schutz bei krimineller Nutzung. Sie dienen oft als interner Verhaltenskodex innerhalb osteuropäischer Hacker-Gruppen. Die Entdeckung unterstreicht die wahrscheinliche Herkunft der Infrastruktur aus dem russischsprachigen Raum.
Erste Hilfe und Prävention für Betrug auf Google Ads
Sicherheitsexperten raten ManageWP-Nutzern zu erhöhter Vorsicht bei der Nutzung von Suchmaschinen. Es sollte stets darauf geachtet werden, nicht auf „Anzeigen“ (Sponsored Results) zu klicken, wenn es um den Zugriff auf sensible Konten geht. Am sichersten ist die manuelle Eingabe der URL oder die Nutzung eines fest hinterlegten Lesezeichens.
Wer befürchtet, Opfer der Kampagne geworden zu sein, sollte umgehend seine Passwörter ändern und alle aktiven Sitzungen im ManageWP-Dashboard beenden. Zudem wird empfohlen, auf physische Sicherheitsschlüssel (FIDO2/WebAuthn) umzusteigen, da diese immun gegen die hier beobachteten AiTM-Proxy-Angriffe sind, da sie eine hardwarebasierte Verifizierung erfordern, die nicht einfach durch einen Proxy weitergeleitet werden kann.
