Campaña de phishing en Google Ads suplantó el acceso a ManageWP de GoDaddy

Resumen del incidente

Investigadores han detectado una campaña de phishing que utilizó resultados patrocinados de Google (Google Ads) para dirigir a víctimas a una página falsa que imitaba el inicio de sesión de ManageWP, la plataforma de GoDaddy para administrar múltiples sitios WordPress. La estafa buscaba capturar credenciales de administradores y operadores de sitios web, aprovechando la visibilidad que ofrecen los anuncios de búsqueda pagados.

Cómo funcionó la campaña

Según el informe original, los atacantes compraron espacios en Google Ads y configuraron anuncios que aparecían en búsquedas relevantes para ManageWP y términos relacionados con la gestión de WordPress. Al hacer clic en esos anuncios patrocinados, los usuarios eran redirigidos a una página diseñada para replicar la interfaz de inicio de sesión de ManageWP. La página fraudulenta solicitaba credenciales y, una vez introducidas, las transmitía al atacante.

Estos abusos de plataformas publicitarias buscan explotar dos debilidades humanas y técnicas: la confianza en los enlaces que aparecen en la parte superior de los resultados de búsqueda y la tendencia a no comprobar cuidadosamente la URL cuando la página tiene una apariencia legítima. Además, los anunciantes maliciosos pueden rotar dominios y creatividades para eludir controles automáticos y prolongar la campaña.

Contexto y antecedentes: por qué importa

ManageWP es una herramienta utilizada por agencias, desarrolladores y administradores de sistemas para gestionar múltiples instalaciones de WordPress desde una sola consola. Un compromiso de credenciales en este tipo de plataformas puede permitir el acceso a una gran cantidad de sitios web, con implicaciones que van desde defacement y inyección de código hasta compromiso de la cadena de suministro digital.

El abuso de plataformas de anuncios para campañas de phishing no es nuevo. En los últimos años han surgido numerosos ejemplos en los que actores maliciosos han comprado anuncios en buscadores y redes sociales para promover páginas clonadas de servicios de correo electrónico, herramientas de productividad o paneles de control de hosting. Informes de seguridad y datos de incidentes recurrentemente sitúan al phishing como una de las principales vías de acceso inicial en intrusiones informáticas, por lo que la capacidad de los ciberdelincuentes para pagar visibilidad legítima amplifica el riesgo.

Análisis y recomendaciones para profesionales

Para equipos de seguridad, administradores de plataformas y responsables de operaciones web, esta campaña subraya la necesidad de medidas defensivas en tres frentes: prevención, detección y respuesta.

• Prevención (reducción del riesgo de compromiso de credenciales)
  • Habilitar autenticación multifactor (MFA) en todas las cuentas de ManageWP y en cuentas de proveedor (GoDaddy). MFA reduce significativamente la eficacia de los ataques de robo de credenciales.
  • Implementar inicio de sesión único (SSO) y control de acceso centralizado donde sea posible; SSO con proveedores de identidad robustos facilita políticas de sesión y revocación.
  • Utilizar gestores de contraseñas y políticas que prohiban la reutilización de credenciales entre cuentas administrativas y personales.
  • Configurar políticas de sesión y alertas de inicio de sesión atípico (nuevas ubicaciones geográficas, IPs inusuales, múltiples fallos de autenticación).
• Detección
  • Monitorizar logs de autenticación y generar alertas por patrones que indican relleno de credenciales o uso de credenciales filtradas.
  • Analizar el tráfico web entrante hacia páginas de administración y establecer umbrales para interacciones sospechosas (picos de intentos de inicio de sesión, tasas altas de rechazos).
  • Integrar feeds de inteligencia de dominios y phishing para bloquear o revisar rápidamente dominios emergentes que imiten servicios legítimos.
• Respuesta
  • Disponer de procedimientos para rotar credenciales y revocar sesiones de manera inmediata tras la detección de posible compromiso.
  • Establecer canales rápidos para que los usuarios reporten anuncios sospechosos: instructivos internos sobre cómo identificar URLs oficiales y cómo reportar a los equipos de seguridad.
  • Reportar los anuncios fraudulentos a Google y a los registradores de dominio donde proceda para acelerar la retirada de contenido malicioso.

Los anuncios pagados pueden proporcionar a los atacantes una apariencia de legitimidad difícil de distinguir para usuarios no entrenados; por tanto, la defensa debe combinar controles técnicos (MFA, SSO, monitorización) con capacitación específica para identificar pagos patrocinados maliciosos.

Casos comparables y tendencias relevantes

Casos similares han afectado a servicios de correo corporativo, paneles de administración de hosting y plataformas de productividad, donde los atacantes usan anuncios en buscadores y redes sociales para clonar páginas de inicio de sesión y captar credenciales. Informes de seguridad públicos y estudios del sector señalan que el phishing continúa siendo una de las principales causas de compromisos iniciales en incidentes de seguridad.

La recurrencia de estos ataques se apoya en factores económicos: comprar anuncios ofrece a los atacantes una forma rápida y escalable de atraer tráfico con bajo coste operativo, y las plataformas publicitarias enfrentan el desafío de moderar millones de creatividades y dominios nuevos.

Riesgos, implicaciones y escenarios de impacto

• Compromiso en cadena: cuentas ManageWP comprometidas pueden proporcionar acceso directo a múltiples sitios, permitiendo a un actor malicioso distribuir malware, insertar puertas traseras o manipular contenidos en masa.
• Daño a la reputación: la defunción o el compromiso de sitios gestionados puede afectar a clientes, partners y a la confianza en las agencias o proveedores que administran esos sitios.
• Exposición de datos: credenciales reutilizadas en otras plataformas pueden derivar en accesos no autorizados más allá del entorno WordPress.
• Persistencia del atacante: incluso si se detecta un anuncio fraudulento, los adversarios pueden alternar dominios y creatividades, requiriendo medidas continuas de inteligencia y bloqueo.

Medidas prácticas que pueden aplicar ahora mismo

• Forzar la activación de MFA para todos los usuarios administrativos de ManageWP y cuentas relacionadas con hosting y DNS.
• Revisar y endurecer políticas de contraseña, prohibiendo reutilización y promoviendo gestores de contraseñas.
• Configurar alertas de seguridad en consola y validar la presencia de tráfico extraño hacia paneles de administración.
• Formar a equipos y clientes para que verifiquen el dominio y usen marcadores oficiales en vez de seguir anuncios al buscar servicios críticos.
• Establecer un procedimiento de reporte y mitigación de anuncios fraudulentos: reportar a Google Ads, a registradores y a equipos de respuesta a incidentes.

Conclusión

La campaña que utilizó Google Ads para suplantar el inicio de sesión de ManageWP refuerza una lección conocida: la combinación de ingeniería social y visibilidad pagada facilita ataques de phishing eficaces. Para reducir el riesgo es imprescindible aplicar controles técnicos (MFA, SSO, monitorización), mejorar la higiene de credenciales y capacitar a usuarios operativos y clientes. Las plataformas publicitarias seguirán siendo un vector de abuso mientras los atacantes puedan financiar visibilidad; la defensa requiere vigilancia proactiva y procedimientos de respuesta rápidos.

Source: www.bleepingcomputer.com