عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة حملة DollyWay للبرمجيات الخبيثة

حملة DollyWay للبرمجيات الخبيثة

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:
العربية

DollyWay، وهي عملية برمجيات خبيثة نشطة منذ عام ٢٠١٦، اخترقت أكثر من ٢٠ ألف موقع ووردبريس عالميًا. وقد ازدادت هذه الحملة المستمرة تعقيدًا على مر السنين، حيث حسّنت استراتيجياتها في التهرب وإعادة الإصابة وتحقيق الربح، مما يجعلها تهديدًا خطيرًا لأمن المواقع.

تطور DollyWay إلى نظام إعادة توجيه التكتيكات

في البداية، وزّعت DollyWay برامج فدية وأحصنة طروادة مصرفية، مُشكّلةً تهديدًا مباشرًا لزوار الموقع. ومع ذلك، في إصدارها الحالي (DollyWay v3)، حوّلت البرمجية الخبيثة تركيزها إلى العمل كنظام إعادة توجيه احتيالي، ما يوجّه المستخدمين إلى مواقع احتيالية.

كشفت أبحاث حديثة أن DollyWay جزء من عملية أوسع وأطول أمدًا تُعرف باسم "دولي واي للسيطرة على العالم". تتضمن العملية حملات متعددة تشترك في نفس الكود والبنية التحتية وأساليب تحقيق الدخل. سُميت البرمجية الخبيثة بهذا الاسم نسبةً إلى السلسلة النصية الموجودة في شفرتها:

كيف يُعرّض DollyWay v3 آلاف مواقع WordPress للخطر؟

يستهدف DollyWay الإصدار 3 مواقع ووردبريس الضعيفة باستغلال ثغرات أمنية متكررة في الإضافات والقوالب. بمجرد اختراق الموقع، يُعيد البرنامج الخبيث توجيه الزوار إلى مواقع خبيثة تُقدم خدمات مواعدة ومقامرة واحتيال بالعملات المشفرة ومسابقات قمار.

اعتبارًا من فبراير 2025، أصبحت DollyWay مسؤولة عن توليد أكثر من 10 ملايين ظهور احتيالي شهريًا، وتوجيه الزيارات إلى صفحات احتيالية تُدرّ أرباحًا من خلال شبكات التسويق بالعمولة VexTrio وLosPollos. تُدار عملية إعادة التوجيه هذه من خلال نظام توجيه الزيارات (TDS) الذي يُرشّح المستخدمين بناءً على خصائص مُحددة.

عملية العدوى بثلاث مراحل

  • إعداد الحقن وإعادة التوجيه : يقوم البرنامج الخبيث بحقن البرنامج النصي في الموقع باستخدام wp_enqueue_script، وتحميل البرنامج النصي غير الآمن الثاني من الموقع المخترق.
  • تصفية الزيارات : يُحلّل البرنامج النصي الثاني بيانات مُحيلي الزوار، ويُصنّف أهداف إعادة التوجيه. لا يُعاد توجيه المستخدمين إذا:
  • لا يوجد مرجع (الذي قام بزيارة الموقع بشكل مباشر).
  • يتم اكتشافها على أنها روبوتات.
  • هل هم مستخدمون مسجلون الدخول إلى WordPress، بما في ذلك المشرفون؟
  • إعادة التوجيه النهائية إلى صفحات احتيالية : تعمل ثلاثة مواقع مصابة عشوائيًا كعقد TDS، حيث تُحمّل شفرة جافا سكريبت مخفية تُعيد توجيه الزائر إلى صفحات احتيال VexTrio أو LosPollos. لا يحدث هذا التوجيه إلا عند نقر الزائر على عنصر في الصفحة، مما يُصعّب اكتشافه.

تقنيات المثابرة والتخفي في DollyWay

طورت DollyWay مجموعة من التقنيات لضمان استمرار وجودها على المواقع المصابة. بمجرد اختراق موقع ووردبريس، تضمن البرمجية الخبيثة إعادة الإصابة مع كل تحميل صفحة، مما يجعل إزالتها صعبة. إليك أهم أساليبها:

  • نشر كود PHP عبر المكونات الإضافية النشطة.
  • حقن التعليمات البرمجية الضارة في مكون WPCode الإضافي (أداة تابعة لجهة خارجية تستخدم لتعديل WordPress دون تغيير الملفات الأساسية).
  • يؤدي إخفاء WPCode من قائمة المكونات الإضافية إلى جعله غير مرئي للمسؤولين ويجعل إزالته أكثر صعوبة.

بالإضافة إلى ذلك، يقوم البرنامج الخبيث بإنشاء حسابات إدارية مخفية بسلاسل سداسية عشوائية مكونة من 32 حرفًا، والتي لا يمكن رؤيتها إلا من خلال فحص قاعدة البيانات المباشرة، مما يضمن للمهاجمين الحفاظ على السيطرة على الموقع.

الخلاصة: تهديد مستمر ومتطور

DollyWay حملة برمجيات خبيثة مستمرة وفعّالة، تتطور باستمرار باستخدام أساليب متطورة بشكل متزايد. قدرتها على:

  • إعادة إصابة المواقع تلقائيًا
  • تجنب الاكتشاف من خلال البرامج النصية المخفية وحسابات المسؤول
  • تحقيق الدخل من حركة إعادة التوجيه من خلال الشبكات المرتبطة بالاحتيال

...يُشكّل تهديدًا خطيرًا لأصحاب مواقع ووردبريس حول العالم. يجب على مسؤولي المواقع توخي الحذر وتحديث السمات والإضافات وبروتوكولات الأمان بانتظام للحد من مخاطر الإصابة.

الشائع

تشغيل شبكة بوت نت BADBOX 2

شبكات الروبوتات
تمكن باحثو الاستخبارات الأمنية من تحديد واحدة من أكبر شبكات الروبوتات التي تم اكتشافها على الإطلاق، والتي أصابت أكثر من مليون جهاز يعمل بنظام أندرويد ببرنامج خلفي. ويأتي هذا الاكتشاف بعد تقارير عن ثغرات أمنية متعددة في متصفح جوجل كروم، وتحذيرات من يوتيوب حول تكتيكات سرقة بيانات الاعتماد وتأكيد هجمات اليوم صفر التي تستهدف الهواتف الذكية التي تعمل بنظام أندرويد. BADBOX 2.0: التهديد الخفي وراء...

الأكثر مشاهدة

جار التحميل...