黑客利用谷歌广告窃取GoDaddyManageWP登录信息

admin
admin
admin
0
文章
0
评论
2026-05-14 13:19:09 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 黑客滥用Google广告在ManageWP搜索结果顶部放置钓鱼广告,通过中间人攻击(AITM)窃取GoDaddy用户凭据。攻击者使用定制私有框架实时代理受害者登录过程,绕过双因素认证,并将会话信息转发至Telegram频道。研究人员已确认至少200名受害者,建议用户通过书签直接访问官网并检查登录日志。 综合评分: 85 文章分类: 网络钓鱼,恶意广告,中间人攻击,社会工程学,安全运营

cover_image

黑客利用谷歌广告窃取 GoDaddy ManageWP 登录信息

原创

ZM ZM

暗镜

2026年5月9日 06:00 北京

在小说阅读器读本章

去阅读

黑客滥用 Google Ads,通过在合法的 ManageWP 搜索结果上方放置看起来很像的钓鱼广告,窃取 GoDaddy ManageWP 凭据,并通过中间人攻击 (AiTM) 设置实时代理受害者的登录信息。

攻击者购买了模仿 ManageWP 品牌的 Google 赞助广告,该广告出现在搜索结果的顶部,而合法域名则被挤到其下方。

当用户点击恶意广告时,他们会被重定向到一个克隆的 ManageWP 登录页面,该页面与真正的界面几乎无法区分,这增加了受害者在不怀疑的情况下输入凭据的可能性。

ManageWP 被代理商、开发人员和企业广泛使用,用于从单个控制面板管理数百个 WordPress 网站,因此每个被盗用的帐户都极其宝贵。

Guardio Labs 的研究人员发现了一起针对搜索“managewp”(GoDaddy 旗下的集中式 WordPress 管理平台)的用户的网络钓鱼活动。

黑客利用谷歌广告漏洞

根据研究人员引用的 WordPress.org 统计数据,ManageWP Worker 插件已安装在超过 100 万个网站上,这扩大了成功的网络钓鱼活动的潜在影响范围。

与传统的钓鱼页面仅收集用户名和密码不同,此活动在受害者和合法的 ManageWP 服务之间使用实时 AiTM 代理。

当用户在虚假页面上提交凭据时,后端会立即将这些详细信息转发到真正的 ManageWP 登录端点,从而有效地代表受害者实时登录。

被盗凭证还会被转发到攻击者控制的 Telegram 频道,使操作员能够立即看到每个被入侵的会话。

为了绕过双因素身份验证,代理会显示一个伪造的 2FA 提示,该提示模仿合法的 ManageWP 质询。

受害者无意中输入一次性代码,就等于直接把代码交给了攻击者,攻击者会将代码注入到活动会话中,从而获得对 ManageWP 帐户的完全访问权限。

此 AiTM 流程允许威胁行为者绕过多因素身份验证保护,并保持一个实时身份验证会话,他们可以利用该会话来控制连接的 WordPress 站点。

Guardio Labs 的研究人员渗透到攻击者的命令与控制基础设施中,并观察到一个由操作员驱动的面板,该面板带有下拉命令,用于控制每个网络钓鱼会话。

该界面使攻击者能够以交互方式逐步完成网络钓鱼流程,请求更多信息,并动态处理双因素身份验证挑战,而不是依赖全自动工具包。

该平台似乎是一个定制的私有框架,而不是一个通用的网络钓鱼服务工具包,这表明其运营更加先进且管理更加严格。

小组提供的代码资料包括一份俄语协议,其中作者声明不对非法使用承担责任,将该框架描述为“教育性的”,并明确禁止将其用于针对俄罗斯境内的目标,这种模式在东欧网络犯罪工具中很常见。

根据最新分析,研究人员已确认至少有 200 名受害者,但考虑到 ManageWP 在全球网站管理员中的流行程度,实际数字可能更高。

GoDaddy ManageWP 登录

攻破一个 ManageWP 帐户即可让攻击者集中访问大量WordPress 站点,包括更改内容、部署恶意插件、窃取数据或进一步入侵托管环境。

由于此次攻击依托于谷歌的广告和搜索生态系统,许多用户可能会认为赞助结果值得信赖,从而提高了攻击活动的有效性。

这一事件也凸显了“恶意广告”这一更广泛的趋势,即威胁行为者利用付费搜索广告位大规模传播网络钓鱼和恶意软件。

ManageWP 和GoDaddy 用户应避免使用搜索引擎作为登录页面的快捷方式,而应将官方 URL 添加到书签并直接访问。

管理员应检查其 ManageWP 帐户日志,查看是否存在可疑登录,如果怀疑帐户已被盗用,则应轮换密码,并重置 API 密钥或访问令牌。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《黑客利用谷歌广告窃取 GoDaddy ManageWP 登录信息》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0