کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی یک کمپین فیشینگ پیشرفته خبر دادهاند که با سوءاستفاده از تبلیغات گوگل، کاربران سرویس ManageWP را هدف قرار میدهد.
به گزارش کمیته رکن چهارم، مهاجمان با خرید تبلیغات در نتایج جستجوی گوگل، لینکهای جعلی ورود به ManageWP را بالاتر از سایت اصلی نمایش میدهند تا کاربران را فریب دهند. پس از ورود به صفحه جعلی، اطلاعات حساب شامل نام کاربری، رمز عبور و حتی کد احراز هویت دومرحلهای قربانی بهصورت لحظهای برای مهاجمان ارسال میشود.
بررسیها نشان میدهد این حمله از تکنیک Adversary-in-the-Middle یا AiTM استفاده میکند؛ روشی که در آن صفحه فیشینگ بهصورت زنده میان کاربر و سرویس واقعی قرار میگیرد و مهاجم میتواند همزمان با قربانی وارد حساب اصلی شود.
ManageWP یک پلتفرم محبوب برای مدیریت همزمان چندین وبسایت وردپرسی است و معمولاً توسط شرکتهای طراحی سایت، توسعهدهندگان و مدیران سرور استفاده میشود. کارشناسان هشدار دادهاند که در صورت نفوذ به یک حساب ManageWP، مهاجم میتواند کنترل تعداد زیادی وبسایت وردپرسی را در اختیار بگیرد و از آنها برای تزریق بدافزار، حملات supply chain و سرقت اطلاعات کاربران استفاده کند.
یک منبع مطلع از این پرونده به کمیته رکن چهارم گفت مهاجمان از زیرساخت پیشرفته و اختصاصی برای مدیریت حمله استفاده میکنند و این عملیات فراتر از یک کیت ساده فیشینگ است.
پژوهشگران همچنین اعلام کردهاند نشانههایی از زبان روسی در زیرساخت مهاجمان مشاهده شده، اما انتساب قطعی این حمله هنوز تأیید نشده است.
پیشزمینه:
در سالهای اخیر حملات AiTM به یکی از روشهای رایج برای دور زدن احراز هویت دومرحلهای تبدیل شدهاند. در این روش مهاجم نهتنها رمز عبور، بلکه نشست ورود و کدهای امنیتی را نیز بهصورت زنده سرقت میکند.
جمعبندی:
این کمپین نشان میدهد که حتی استفاده از احراز هویت دومرحلهای نیز در برابر حملات پیشرفته AiTM بهتنهایی کافی نیست و ورود به سرویسها از طریق لینکهای تبلیغاتی میتواند خطر compromise گسترده وبسایتها را بهدنبال داشته باشد.
منبع: BleepingComputer
