Kinsta, il provider di hosting WordPress, avverte i clienti che sono stati rilevati annunci Google fake. Questi promuovono siti di phishing per rubare credenziali di hosting. Kinsta sottolinea che gli attacchi di phishing mirano a rubare le credenziali di accesso per MyKinsta, uno dei servizi chiave che l'azienda offre agli amministratori per gestire WordPress e altre app basate su cloud. In un'e-mail inviata ai propri clienti, Kinsta ha affermato di aver identificato che gli aggressori stanno sfruttando Google Ads, prendendo di mira le persone che hanno precedentemente visitato i siti web ufficiali di Kinsta. Gli autori delle minacce creano siti web sponsorizzati che imitano da vicino quelli di Kinsta, inducendo gli utenti a cliccare su essi.

WordPress: autenticazione a due fattori su Kinsta per aumentare la sicurezza

Kinsta sottolinea che questi i siti web linkati nella e-mail sono dannosi e avverte gli utenti di non cliccare su collegamenti che non reindirizzino direttamente ai siti web ufficiali kinsta.com o my.kinsta.com. L'azienda consiglia inoltre agli utenti di abilitare l'autenticazione a due fattori sui propri account per impedire l'accesso all'account anche in caso di furto delle credenziali. Inoltre, l’azienda che fornisce l’hosting di WordPress ha avvertito che questi aggressori potrebbero anche inviare e-mail di phishing o altre forme di comunicazione, convincendo gli utenti ad accedere ai siti di phishing MyKinsta attraverso questi collegamenti dannosi per rubare le credenziali di accesso. L’azienda è già a lavoro per identificare e rimuovere i siti di phishing, ma avverte gli utenti di adottare misure per salvaguardare i propri account.

L’attacco agli utenti dell’hosting WordPress attraverso Google Ads non è un caso isolato. Negli ultimi tempi si è infatti verificato un notevole aumento di casi simili, inclusa una pubblicità ingannevole per Amazon. Quando gli utenti cliccavano sul falso sito Amazon, questi venivano reindirizzati a una pagina fake mascherata da pagina di supporto tecnico di Microsoft Defender. Altri annunci Google promuovevano siti web che fingevano di essere siti di download di software legittimo. Tra questi vi sono Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird e Brave. Tuttavia, questi falsi programmi di installazione installavano malware, come Raccoon Stealer, una versione personalizzata di Vidar Stealer e il caricatore di malware IcedID.