DollyWay Malware Campaign

ডলিওয়ে, ২০১৬ সাল থেকে সক্রিয় একটি ম্যালওয়্যার অপারেশন, বিশ্বব্যাপী ২০,০০০ এরও বেশি ওয়ার্ডপ্রেস সাইটের সাথে আপস করেছে। এই চলমান প্রচারণা বছরের পর বছর ধরে আরও পরিশীলিত হয়েছে, এর ফাঁকি, পুনঃসংক্রমণ এবং নগদীকরণ কৌশলগুলিকে পরিমার্জিত করেছে, যা এটিকে সাইটের নিরাপত্তার জন্য একটি উল্লেখযোগ্য হুমকিতে পরিণত করেছে।

ডলিওয়ের কৌশলগত পুনর্নির্দেশনা ব্যবস্থায় বিবর্তন

প্রাথমিকভাবে, ডলিওয়ে র‍্যানসমওয়্যার এবং ব্যাংকিং ট্রোজান বিতরণ করত, যা সাইট ভিজিটরদের জন্য সরাসরি হুমকিস্বরূপ ছিল। তবে, এর বর্তমান সংস্করণে (ডলিওয়ে v3), ম্যালওয়্যারটি একটি স্ক্যাম রিডাইরেকশন সিস্টেম হিসাবে কাজ করার দিকে মনোনিবেশ করেছে, যা ব্যবহারকারীদের প্রতারণামূলক সাইটের দিকে পরিচালিত করে।

সাম্প্রতিক গবেষণায় দেখা গেছে যে ডলিওয়ে 'ডলিওয়ে ওয়ার্ল্ড ডমিনেশন' নামে পরিচিত একটি আরও বিস্তৃত, দীর্ঘমেয়াদী অপারেশনের অংশ। এই অপারেশনে একাধিক প্রচারণা রয়েছে যা একই রকম কোড, অবকাঠামো এবং নগদীকরণ কৌশল ভাগ করে নেয়। ম্যালওয়্যারটির নামকরণ করা হয়েছে এর কোডে পাওয়া স্ট্রিং অনুসারে:

ডলিওয়ে v3 কীভাবে হাজার হাজার ওয়ার্ডপ্রেস সাইটের সাথে আপস করে

DollyWay v3 প্লাগইন এবং থিমের n-day ত্রুটিগুলি কাজে লাগিয়ে দুর্বল WordPress সাইটগুলিকে লক্ষ্য করে। একবার কোনও সাইটের সাথে আপোস করা হলে, ম্যালওয়্যারটি দর্শকদের জাল ডেটিং, জুয়া, ক্রিপ্টোকারেন্সি স্ক্যাম এবং সুইপস্টেক অফার করে এমন ক্ষতিকারক সাইটগুলিতে পুনঃনির্দেশিত করে।

২০২৫ সালের ফেব্রুয়ারি পর্যন্ত, ডলিওয়ে প্রতি মাসে ১ কোটিরও বেশি প্রতারণামূলক ইম্প্রেশন তৈরির জন্য দায়ী, যা ভেক্সট্রিও এবং লসপোলোস অ্যাফিলিয়েট নেটওয়ার্কের মাধ্যমে নগদীকরণ করা স্ক্যাম পেজগুলিতে ট্র্যাফিক নির্দেশ করে। এই পুনঃনির্দেশ প্রক্রিয়াটি একটি ট্র্যাফিক দিকনির্দেশনা সিস্টেম (টিডিএস) এর মাধ্যমে পরিচালিত হয় যা নির্দিষ্ট বৈশিষ্ট্যের উপর ভিত্তি করে ব্যবহারকারীদের ফিল্টার করে।

তিন-পর্যায়ের সংক্রমণ প্রক্রিয়া

• ইনজেকশন এবং রিডাইরেকশন সেটআপ : ম্যালওয়্যারটি wp_enqueue_script ব্যবহার করে সাইটে একটি স্ক্রিপ্ট ইনজেক্ট করে, এবং আপোস করা সাইট থেকে দ্বিতীয় অনিরাপদ স্ক্রিপ্ট লোড করে।
• ট্র্যাফিক ফিল্টারিং : দ্বিতীয় স্ক্রিপ্টটি ভিজিটর রেফারারের ডেটা বিশ্লেষণ করে, পুনঃনির্দেশ লক্ষ্যবস্তুগুলিকে শ্রেণীবদ্ধ করে। ব্যবহারকারীদের পুনঃনির্দেশিত করা হয় না যদি তারা:
• কোনও রেফারার নেই (যিনি সরাসরি ওয়েবসাইটটি দেখেছেন)।
• বট হিসেবে শনাক্ত করা হয়েছে।
• লগ-ইন করা ওয়ার্ডপ্রেস ব্যবহারকারী, অ্যাডমিন সহ।
• জালিয়াতিপূর্ণ পৃষ্ঠাগুলিতে চূড়ান্ত পুনঃনির্দেশনা : তিনটি এলোমেলোভাবে সংক্রামিত সাইট টিডিএস নোড হিসাবে কাজ করে, লুকানো জাভাস্ক্রিপ্ট লোড করে যা ভিজিটরকে VexTrio বা LosPollos স্ক্যাম পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করে। এই পুনঃনির্দেশনা কেবল তখনই ঘটে যখন ভিজিটর কোনও পৃষ্ঠার উপাদানে ক্লিক করেন, যা সনাক্ত করা কঠিন করে তোলে।

ডলিওয়ের অধ্যবসায় এবং গোপন কৌশল

সংক্রামিত সাইটগুলিতে এর স্থায়িত্ব নিশ্চিত করার জন্য ডলিওয়ে বিভিন্ন কৌশল তৈরি করেছে। একবার এটি কোনও ওয়ার্ডপ্রেস সাইটের সাথে আপস করলে, ম্যালওয়্যারটি প্রতিটি পৃষ্ঠা লোডের সাথে পুনরায় সংক্রামিত হয়, যার ফলে অপসারণ করা কঠিন হয়ে পড়ে। এখানে এর মূল কৌশলগুলি দেওয়া হল:

• সক্রিয় প্লাগইনগুলিতে পিএইচপি কোড ছড়িয়ে দেওয়া।
• WPCode প্লাগইনে ক্ষতিকারক কোড ইনজেক্ট করা (কোর ফাইল পরিবর্তন না করে ওয়ার্ডপ্রেস পরিবর্তন করার জন্য ব্যবহৃত একটি তৃতীয় পক্ষের টুল)।
• প্লাগইন তালিকা থেকে WPCode লুকানোর ফলে এটি প্রশাসকদের কাছে অদৃশ্য হয়ে যায় এবং অপসারণ করা আরও কঠিন হয়ে পড়ে।

উপরন্তু, ম্যালওয়্যারটি ৩২-অক্ষরের এলোমেলো হেক্স স্ট্রিং সহ লুকানো অ্যাডমিন অ্যাকাউন্ট তৈরি করে, যা শুধুমাত্র সরাসরি ডাটাবেস পরিদর্শনের মাধ্যমে দৃশ্যমান হয়, যা আক্রমণকারীদের সাইটের উপর নিয়ন্ত্রণ বজায় রাখার বিষয়টি নিশ্চিত করে।

উপসংহার: একটি স্থায়ী এবং বিকশিত হুমকি

ডলিওয়ে একটি চলমান এবং স্থিতিস্থাপক ম্যালওয়্যার প্রচারণা যা ক্রমবর্ধমান পরিশীলিত কৌশলের সাথে বিকশিত হচ্ছে। এর ক্ষমতা:

• সাইটগুলিকে স্বয়ংক্রিয়ভাবে পুনরায় সংযোজন করুন
• লুকানো স্ক্রিপ্ট এবং অ্যাডমিন অ্যাকাউন্টের মাধ্যমে সনাক্তকরণ এড়ান
• জালিয়াতি-সম্পর্কিত নেটওয়ার্কগুলির মাধ্যমে পুনঃনির্দেশ ট্র্যাফিক নগদীকরণ করুন

...বিশ্বব্যাপী ওয়ার্ডপ্রেস সাইট মালিকদের জন্য এটি একটি গুরুতর হুমকি। ওয়েবসাইট প্রশাসকদের অবশ্যই সতর্ক থাকতে হবে এবং সংক্রমণের ঝুঁকি কমাতে নিয়মিত থিম, প্লাগইন এবং সুরক্ষা প্রোটোকল আপডেট করতে হবে।