搜索"ManageWP"时,排在第一位的广告可能是陷阱。

网络安全公司Guardio Labs发现,网络犯罪分子正利用谷歌广告推广虚假登录页面,专门瞄准GoDaddy旗下这款拥有百万级活跃网站用户的WordPress多站点管理工具。受害者一旦输入账号密码,甚至两步验证码,信息会实时转发到攻击者控制的Telegram账户。

打开网易新闻 查看精彩图片

ManageWP的核心用户群包括网站开发者、代运营机构和企业IT管理者——这些人往往掌握着大量客户的网站后台权限。根据WordPress.org数据,其插件装机量超过100万活跃网站。这意味着一次成功的钓鱼攻击,可能连锁危及下游数百个独立站点。

攻击链路设计得相当精密。Guardio Labs研究人员渗透了犯罪分子的命令控制(C2)基础设施,发现一个俄语界面的模块化钓鱼框架。下拉菜单支持交互式流程配置,可根据目标动态调整攻击步骤。研究人员判断这并非公开售卖的"现成工具包",而是私人定制的攻击平台。

目前至少200名受害者已被确认。更棘手的是,这些恶意广告通过了谷歌的审核机制,出现在搜索结果顶部——普通用户很难通过视觉区分真伪页面,URL细节成为唯一识别线索。

研究人员未将攻击归因于特定威胁组织,但俄语界面和定制化程度暗示着专业团伙运作。对于依赖ManageWP批量管理网站的用户而言,书签直达、广告拦截器和反复核对域名,正在成为基本生存技能。