IT-Sicherheitsexperten und datenschutzbewusste Nutzer sollten sich einer neuen Phishing-Kampagne bewusst sein, die **ManageWP** ins Visier nimmt, eine weit verbreitete Plattform zur Verwaltung mehrerer WordPress-Sites von einem einzigen Dashboard aus. Der Angriff, der von Forschern von **Guardio Labs** entdeckt wurde, nutzt bösartige Google Ads, um Nutzer auf eine gefälschte Anmeldeseite umzuleiten, die die legitime **ManageWP**-Oberfläche nachahmt. ### Ausgeklügeltes AiTM-Phishing Die Bedrohungsakteure setzen einen Adversary-in-the-Middle (AiTM)-Ansatz ein. Das bedeutet, dass die gefälschte Anmeldeseite als Echtzeit-Proxy fungiert und Anmeldedaten und 2FA-Codes zwischen dem Opfer und dem echten **ManageWP**-Dienst abfängt.  *Böser Google-Suchergebnis Quelle: Guardio Labs* Nutzer, die auf die bösartige Anzeige klicken, sehen eine Anmeldeseite, die von der echten **ManageWP**-Anmeldung praktisch nicht zu unterscheiden ist. Wenn Nutzer ihre Anmeldedaten eingeben, werden diese Informationen sofort an einen von den Angreifern kontrollierten Telegram-Kanal weitergeleitet, der sie dann verwendet, um sich in Echtzeit bei der Plattform anzumelden. Der Angriff beschränkt sich nicht auf den Diebstahl von Benutzernamen und Passwort. Opfer werden aufgefordert, ihren 2FA-Code einzugeben, den die Angreifer dann verwenden, um vollständigen Zugriff auf das **ManageWP**-Konto zu erhalten. ### Ausmaß des Angriffs Laut **Guardio Labs** kann ein einziges kompromittiertes **ManageWP**-Konto Zugriff auf Hunderte von Websites bieten. Das **ManageWP**-Plugin, das es der Plattform ermöglicht, registrierte Websites zu steuern, ist laut WordPress.org-Statistiken auf über 1 Million Websites aktiv. ### Einblick in die Infrastruktur des Angreifers **Guardio Labs**-Forscher verschafften sich Zugang zur Command-and-Control (C2)-Infrastruktur des Angreifers und enthüllten eine ausgeklügelte, von Betreibern gesteuerte Phishing-Operation. Das C2-Panel verfügt über ein Dropdown-Befehlssystem, das eine interaktive Steuerung des Phishing-Prozesses ermöglicht.  *C2-Panel Quelle: Guardio Labs* Der leitende Forscher Nati Tal bemerkte, dass das Phishing-Framework eher eine private Entwicklung als ein handelsübliches Kit zu sein scheint. Interessanterweise enthält der Code eine russischsprachige Vereinbarung, die die Verantwortung für illegale Aktivitäten ausschließt und die Nutzung des Panels gegen russische Systeme verbietet. ### Abhilfemaßnahmen und Benachrichtigung von Opfern **Guardio Labs** hat Opferdaten erfasst und benachrichtigt aktiv betroffene Nutzer. Zum Zeitpunkt der Berichterstattung wurden etwa 200 eindeutige Opfer identifiziert. [Artikelbild](https://www.bleepstatic.com/c/p/autonomous-validation2.jpg) ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI hat vier 0-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, die Wirksamkeit von Kontrollen beweist und den Remediation-Loop schließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)