Kampaň DollyWay proti malwaru
DollyWay, malwarová operace aktivní od roku 2016, ohrozila více než 20 000 webů WordPress po celém světě. Tato probíhající kampaň se v průběhu let stala sofistikovanější a zdokonalila své strategie úniku, opětovné infekce a monetizace, což z ní činí významnou hrozbu pro bezpečnost webu.
Obsah
Vývoj DollyWay v taktický systém přesměrování
Zpočátku DollyWay distribuoval ransomware a bankovní trojské koně, což představovalo přímou hrozbu pro návštěvníky stránek. Ve své aktuální verzi (DollyWay v3) se však malware zaměřil na fungování jako systém přesměrování podvodů, což uživatele vede na podvodné stránky.
Nedávný výzkum odhalil, že DollyWay je součástí rozsáhlejší, dlouhotrvající operace známé jako 'DollyWay World Domination.' Operace zahrnuje několik kampaní, které sdílejí podobný kód, infrastrukturu a taktiku zpeněžení. Malware je pojmenován podle řetězce nalezeného v jeho kódu:
Jak DollyWay v3 kompromituje tisíce webů WordPress
DollyWay v3 se zaměřuje na zranitelné weby WordPress tím, že využívá n-denní chyby v pluginech a motivech. Jakmile je stránka napadena, malware přesměruje návštěvníky na škodlivé stránky nabízející falešné seznamky, hazardní hry, podvody s kryptoměnami a sázky.
Od února 2025 je DollyWay zodpovědná za generování více než 10 milionů podvodných zobrazení měsíčně, přesměrování provozu na podvodné stránky, které jsou monetizovány prostřednictvím affiliate sítí VexTrio a LosPollos. Tento proces přesměrování je řízen prostřednictvím systému Traffic Direction System (TDS), který filtruje uživatele na základě specifických charakteristik.
Třífázový infekční proces
- Nastavení vkládání a přesměrování : Malware vloží skript do webu pomocí wp_enqueue_script a načte druhý nebezpečný skript z napadeného webu.
- Filtrování provozu : Druhý skript analyzuje data odkazujících návštěvníků a kategorizuje cíle přesměrování. Uživatelé nebudou přesměrováni, pokud:
- Neexistuje žádný referrer (který přímo navštívil web).
- Jsou detekováni jako roboti.
- Jsou přihlášení uživatelé WordPress, včetně administrátorů.
- Konečné přesměrování na podvodné stránky : Tři náhodně infikované stránky fungují jako uzly TDS a načítají skrytý JavaScript, který přesměruje návštěvníka na podvodné stránky VexTrio nebo LosPollos. K tomuto přesměrování dochází pouze tehdy, když návštěvník klikne na prvek stránky, což ztěžuje jeho odhalení.
Perzistence a stealth techniky DollyWay
DollyWay vyvinul řadu technik k zajištění jeho přetrvávání na infikovaných stránkách. Jakmile ohrozí web WordPress, malware zajistí, že se znovu infikuje při každém načtení stránky, takže odstranění je obtížné. Zde jsou jeho klíčové taktiky:
- Šíření PHP kódu mezi aktivní pluginy.
- Vložení škodlivého kódu do pluginu WPCode (nástroj třetí strany používaný k úpravě WordPressu bez změny základních souborů).
- Skrytím WPCode ze seznamu pluginů je pro administrátory neviditelný a jeho odstranění je náročnější.
Malware navíc vytváří skryté účty administrátorů s náhodnými 32znakovými hexadecimálními řetězci, které jsou viditelné pouze při přímé kontrole databáze, což útočníkům zajišťuje kontrolu nad webem.
Závěr: Trvalá a vyvíjející se hrozba
DollyWay je pokračující a odolná malwarová kampaň, která se neustále vyvíjí se stále sofistikovanější taktikou. Jeho schopnost:
- Automaticky znovu infikovat stránky
- Vyhněte se detekci pomocí skrytých skriptů a účtů správce
- Zpeněžit provoz přesměrování prostřednictvím sítí souvisejících s podvody
…to z něj dělá vážnou hrozbu pro majitele stránek WordPress po celém světě. Správci webových stránek musí zůstat ostražití a pravidelně aktualizovat témata, pluginy a bezpečnostní protokoly, aby zmírnili rizika infekce.
