Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер DollyWay кампания за злонамерен софтуер

DollyWay кампания за злонамерен софтуер

До Mezo през Зловреден софтуерг
Превод на:
български език

DollyWay, операция за злонамерен софтуер, активна от 2016 г., е компрометирала над 20 000 WordPress сайта в световен мащаб. Тази продължаваща кампания става все по-сложна през годините, усъвършенствайки своите стратегии за избягване, повторно заразяване и монетизиране, което я прави значителна заплаха за сигурността на сайта.

Еволюцията на DollyWay в система за тактическо пренасочване

Първоначално DollyWay разпространява рансъмуер и банкови троянски коне, представляващи пряка заплаха за посетителите на сайта. Въпреки това, в текущата си версия (DollyWay v3), зловредният софтуер е изместил фокуса към работа като система за пренасочване на измама, водеща потребителите към измамни сайтове.

Скорошни изследвания разкриха, че DollyWay е част от по-мащабна, продължителна операция, известна като „DollyWay World Domination“. Операцията включва множество кампании, които споделят подобен код, инфраструктура и тактики за осигуряване на приходи. Злонамереният софтуер е кръстен на низа, намерен в неговия код:

Как DollyWay v3 компрометира хиляди WordPress сайтове

DollyWay v3 е насочен към уязвими WordPress сайтове, като използва n-дневни пропуски в плъгини и теми. След като даден сайт бъде компрометиран, злонамереният софтуер пренасочва посетителите към злонамерени сайтове, предлагащи фалшиви срещи, хазарт, измами с криптовалута и лотарии.

Към февруари 2025 г. DollyWay е отговорен за генерирането на над 10 милиона измамни импресии на месец, насочвайки трафика към измамни страници, които се монетизират чрез партньорските мрежи на VexTrio и LosPollos. Този процес на пренасочване се управлява чрез система за насочване на трафика (TDS), която филтрира потребителите въз основа на специфични характеристики.

Триетапен процес на заразяване

  • Настройка на инжектиране и пренасочване : Зловреден софтуер инжектира скрипт в сайта с помощта на wp_enqueue_script, зареждайки втори опасен скрипт от компрометирания сайт.
  • Филтриране на трафика : Вторият скрипт анализира данните за референтите на посетителите, като категоризира целите за пренасочване. Потребителите не се пренасочват, ако:
  • Няма референт (който директно е посетил уебсайта).
  • Разпознават се като ботове.
  • Са влезли потребители на WordPress, включително администратори.
  • Окончателно пренасочване към измамни страници : Три произволно заразени сайта действат като TDS възли, зареждайки скрит JavaScript, който пренасочва посетителя към измамни страници VexTrio или LosPollos. Това пренасочване се случва само когато посетителят щракне върху елемент от страницата, което прави откриването му по-трудно.

Техниките за постоянство и стелт на DollyWay

DollyWay е разработила набор от техники, за да гарантира неговата устойчивост на заразени сайтове. След като компрометира сайт на WordPress, зловредният софтуер гарантира, че го заразява повторно при всяко зареждане на страница, което затруднява премахването. Ето основните му тактики:

  • Разпространяване на PHP код в активни добавки.
  • Инжектиране на злонамерен код в приставката WPCode (инструмент на трета страна, използван за модифициране на WordPress без промяна на основните файлове).
  • Скриването на WPCode от списъка с добавки го прави невидим за администраторите и по-трудно за премахване.

Освен това злонамереният софтуер създава скрити администраторски акаунти с произволни 32-знакови шестнадесетични низове, които са видими само чрез директна проверка на базата данни, гарантирайки, че нападателите поддържат контрол над сайта.

Заключение: Постоянна и развиваща се заплаха

DollyWay е продължаваща и устойчива кампания за злонамерен софтуер, която продължава да се развива с все по-сложни тактики. Способността му да:

  • Повторно заразяване на сайтове автоматично
  • Избягвайте откриването чрез скрити скриптове и администраторски акаунти
  • Осигурете приходи от трафик от пренасочване чрез мрежи, свързани с измами

… го прави сериозна заплаха за собствениците на WordPress сайтове по целия свят. Администраторите на уебсайтове трябва да останат бдителни и редовно да актуализират темите, добавките и протоколите за сигурност, за да намалят рисковете от инфекция.

Тенденция

Инструменти Klio Verfair

Потенциално нежелани програми, Зловреден софтуер
Потенциално нежеланите програми (PUP) често се отхвърлят като незначителни неприятности, но те могат да представляват сериозен риск за поверителността на потребителите и сигурността на системата....

BADBOX 2 Ботнет операция

Ботнет мрежи
Изследователите на разузнаването на заплахите са идентифицирали един от най-големите ботнети, откривани някога, заразявайки повече от милион устройства с Android със задна врата. Това откритие следва доклади за множество уязвимости в сигурността в Google Chrome, предупреждения от YouTube за тактики за кражба на идентификационни данни и потвърждение на атаки от нулев ден, насочени към смартфони...

Най-гледан

Зареждане...