Phishing via Google Ads rouba credenciais e 2FA de sites WordPress - 200 vítimas confirmadas
Campanhas sofisticadas exploram anúncios do Google para atingir administradores de sites
Uma nova campanha de phishing descoberta pela Guardio Labs está explorando anúncios patrocinados do Google para direcionar vítimas a páginas falsas do ManageWP, plataforma de gerenciamento remoto de WordPress utilizada por milhões de websites em todo o mundo. O ataque se destaca pela sofisticação técnica,utiliza uma configuração "adversary-in-the-middle" (AiTM) que proxyza a conexão em tempo real, permitindo que os atacantes capturem simultaneamente credenciais de login e códigos de autenticação de dois fatores (2FA). A infraestrutura foi infiltrada pelos pesquisadores, que confirmaram a existência de 200 vítimas únicas até o momento da descoberta.
Método AiTM representa evolução perigosa em relação ao phishing tradicional
O diferencial desta campanha em comparação com ataques de phishing convencionais está na capacidade de contornar a autenticação de dois fatores, uma camada de segurança considerada robusta por milhões de usuários e empresas. Ao interceptar a conexão entre a vítima e o servidor legítimo, os atacantes conseguem capturar o token de sessão válido após a vítima inserir o código 2FA, tornando a proteção ineficaz. O plugin ManageWP, que permite o gerenciamento remoto de múltiplos sites WordPress a partir de uma única interface, está ativo em mais de 1 milhão de websites, ampliando significativamente a superfície de ataque potencial.
Impacto atinge diretamente desenvolvedores web e agências digitais
O ataque direcionado ao ManageWP não é aleatório,a plataforma é amplamente utilizada por desenvolvedores web profissionais, agências digitais e empresas que gerenciam múltiplos sites WordPress para clientes. Ao comprometer uma única credencial de ManageWP, um atacante pode potencialmente acessar todos os sites associados àquela conta, executando atualizações maliciosas, inserindo código de rastreamento fraudulento ou até mesmo sequestrando websites inteiros. A Guardio Labs recomenda que todos os usuários da plataforma verifiquem imediatamente suas contas, alterem senhas e revisem atividades recentes nos logs de acesso.
Medidas de proteção e recomendações de segurança
Organizações que utilizam o ManageWP ou outras ferramentas de gerenciamento remoto devem implementar medidas adicionais de segurança, incluindo a utilização de chaves de autenticação física (FIDO2/WebAuthn), que são imunes a ataques AiTM. A verificação de URLs antes de inserir credenciais, a ativação de alertas de login em dispositivos desconhecidos e a revisão periódica de permissões de usuários também são práticas essenciais. O Google Ads foi notificado sobre a campanha e trabalha para remover os anúncios maliciosos da plataforma, mas novos vetores de ataque podem surgir a qualquer momento.
Análise do impacto no ecossistema WordPress
Esta campanha evidencia a crescente sofisticação dos ataques direcionados ao ecossistema WordPress, que concentra aproximadamente 43% de todos os websites do mundo. A combinação de phishing via anúncios legítimos, técnica AiTM e alvo em ferramentas de gerenciamento centralizado representa uma evolução significativa nas ameaças enfrentadas por administradores de sites. O impacto potencial vai além das 200 vítimas confirmadas, considerando que cada conta comprometida pode afetar dezenas ou centenas de sites adicionais gerenciados através da plataforma.