Hacker Manfaatkan Iklan Google untuk Phishing Login GoDaddy ManageWP
Sebuah kampanye phishing (pengelabuan) yang disebarkan melalui hasil pencarian bersponsor Google (Google Ads) dilaporkan tengah menargetkan kredensial untuk ManageWP, platform milik GoDaddy yang digunakan untuk mengelola sekumpulan situs web WordPress.
Aktor ancaman di balik kampanye ini menggunakan pendekatan Adversary-in-the-Middle (AiTM), di mana halaman login palsu bertindak sebagai proksi real-time (waktu nyata) antara korban dan layanan ManageWP yang sah.
Sebagai informasi, ManageWP adalah platform administrasi jarak jauh terpusat untuk situs web WordPress. Platform ini memungkinkan pengguna untuk mengelola puluhan hingga ratusan situs sekaligus dari satu panel, tanpa perlu repot login ke dasbor WordPress masing-masing situs. Pengguna utamanya mencakup pengembang web, agensi web yang mengelola situs klien, dan perusahaan skala besar.
Jebakan di Puncak Hasil Pencarian Google
Para peneliti keamanan dari Guardio Labs memperingatkan bahwa hasil pencarian palsu yang disisipi iklan ini ditampilkan persis di atas hasil pencarian organik yang asli untuk kueri “managewp”. Taktik ini secara efektif memikat pengguna yang mengandalkan mesin pencari Google untuk menemukan URL login ManageWP.
Pengguna yang mengklik hasil berbahaya tersebut akan diarahkan ke halaman login yang terlihat sangat identik dengan aslinya. Namun, setiap kredensial (nama pengguna dan kata sandi) yang diketikkan di sana akan langsung dikirimkan ke saluran Telegram yang dikendalikan oleh penyerang.
Mampu Menembus Lapisan Keamanan 2FA
Berbeda dengan halaman phishing biasa yang hanya merekam pasangan nama pengguna dan kata sandi secara pasif, kampanye ini menggunakan pengaturan AiTM secara langsung. Ini berarti penyerang menggunakan kredensial tersebut untuk login ke platform yang sah secara real-time.
Ketika sistem meminta kode Autentikasi Dua Faktor (2FA), korban akan disajikan dengan prompt (jendela permintaan) palsu di halaman phishing tersebut untuk memasukkan kode 2FA mereka. Kode yang diketikkan korban kemudian langsung digunakan oleh peretas untuk mendapatkan akses penuh ke akun ManageWP target.
Kepala peneliti Guardio Labs, Nati Tal, menekankan betapa berbahayanya serangan ini. Ia menjelaskan bahwa setiap akun ManageWP umumnya menampung dan mengontrol ratusan situs web sekaligus. Menurut statistik WordPress.org, plugin ManageWP sendiri saat ini aktif di lebih dari 1 juta situs web.
Menggunakan Framework Phishing Privat Rusia
Tim dari Guardio Labs berhasil menyusup ke dalam infrastruktur Command-and-Control (C2) milik peretas dan mengamati sistem perintah dropdown yang memungkinkan alur phishing interaktif yang digerakkan langsung oleh operator di balik layar.
Nati Tal menyatakan bahwa platform peretasan ini tampaknya bukan bagian dari kit komoditas yang dijual bebas, melainkan sebuah kerangka kerja (framework) phishing privat.
Menariknya, peneliti menemukan sebuah perjanjian berbahasa Rusia yang tertanam di dalam kode tersebut. Dalam teks itu, sang pembuat alat menyangkal tanggung jawab atas aktivitas ilegal, menyertakan penafian untuk “penggunaan pendidikan/penelitian”, dan secara tegas melarang kebocoran publik atas file panel atau penggunaannya terhadap sistem yang berbasis di Rusia.
Saat ini, Guardio Labs telah menangkap data korban dari infrastruktur penyerang dan mulai menghubungi mereka secara langsung untuk memberikan peringatan. Pada saat laporan ini dibuat, para peneliti telah mengonfirmasi setidaknya 200 korban unik yang telah masuk dalam perangkap.
Sumber: Guardio Labs
