DollyWay Malware-kampagne

DollyWay, en malware-operation, der har været aktiv siden 2016, har kompromitteret over 20.000 WordPress-websteder globalt. Denne igangværende kampagne er blevet mere sofistikeret i årenes løb og har forfinet dens strategier for unddragelse, geninfektion og indtægtsgenerering, hvilket gør den til en væsentlig trussel mod webstedets sikkerhed.

DollyWays udvikling til et taktisk omdirigeringssystem

Oprindeligt distribuerede DollyWay ransomware og banktrojanske heste, hvilket udgjorde en direkte trussel mod webstedsbesøgende. Men i sin nuværende version (DollyWay v3) har malware flyttet fokus til at fungere som et fidus-omdirigeringssystem, hvilket fører brugerne til svigagtige websteder.

Nyere forskning har afsløret, at DollyWay er en del af en mere omfattende, langvarig operation kendt som 'DollyWay World Domination.' Operationen inkluderer flere kampagner, der deler lignende kode, infrastruktur og taktik for indtægtsgenerering. Malwaren er opkaldt efter strengen fundet i dens kode:

Hvordan DollyWay v3 kompromitterer tusindvis af WordPress-websteder

DollyWay v3 er rettet mod sårbare WordPress-websteder ved at udnytte n-dages fejl i plugins og temaer. Når først et websted er kompromitteret, omdirigerer malwaren besøgende til ondsindede websteder, der tilbyder falsk dating, gambling, cryptocurrency-svindel og sweepstakes.

Fra februar 2025 er DollyWay ansvarlig for at generere over 10 millioner svigagtige visninger om måneden, og dirigere trafik til svindelsider, der tjene penge på via VexTrio og LosPollos tilknyttede netværk. Denne omdirigeringsproces styres gennem et Traffic Direction System (TDS), der filtrerer brugere baseret på specifikke karakteristika.

Den tre-trins infektionsproces

• Injektion og omdirigeringsopsætning : Malwaren injicerer et script på webstedet ved hjælp af wp_enqueue_script og indlæser et andet usikkert script fra det kompromitterede websted.
• Trafikfiltrering : Det andet script analyserer besøgshenvisningsdata og kategoriserer omdirigeringsmålene. Brugere omdirigeres ikke, hvis de:
• Der er ingen henvisning (der direkte besøgte hjemmesiden).
• Detekteres som bots.
• Er logget ind på WordPress-brugere, inklusive administratorer.
• Endelig omdirigering til svigagtige sider : Tre tilfældigt inficerede websteder fungerer som TDS-noder, der indlæser skjult JavaScript, der omdirigerer den besøgende til VexTrio eller LosPollos svindelsider. Denne omdirigering sker kun, når den besøgende klikker på et sideelement, hvilket gør det sværere at opdage.

DollyWays vedholdenhed og stealth-teknikker

DollyWay har udviklet en række teknikker for at sikre, at den holder sig på inficerede steder. Når den først kompromitterer et WordPress-websted, sikrer malwaren, at den geninficerer med hver sideindlæsning, hvilket gør fjernelse vanskelig. Her er dens vigtigste taktik:

• Spredning af PHP-kode på tværs af aktive plugins.
• Indsprøjtning af ondsindet kode i WPCode-plugin'et (et tredjepartsværktøj, der bruges til at ændre WordPress uden at ændre kernefiler).
• At skjule WPCode fra plugin-listen gør den usynlig for administratorer og mere udfordrende at fjerne.

Derudover opretter malwaren skjulte administratorkonti med tilfældige hex-strenge på 32 tegn, som kun er synlige via direkte databaseinspektion, hvilket sikrer, at angribere bevarer kontrollen over webstedet.

Konklusion: En vedvarende og udviklende trussel

DollyWay er en igangværende og modstandsdygtig malware-kampagne, der fortsætter med at udvikle sig med stadig mere sofistikerede taktikker. Dens evne til at:

• Geninficer websteder automatisk
• Undgå afsløring gennem skjulte scripts og administratorkonti
• Tjen penge på omdirigeringstrafik gennem svindelrelaterede netværk

…gør det til en alvorlig trussel for WordPress-webstedsejere over hele verden. Webstedsadministratorer skal forblive på vagt og opdatere temaer, plugins og sikkerhedsprotokoller regelmæssigt for at mindske risikoen for infektion.