Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Καμπάνια κακόβουλου λογισμικού DollyWay

Καμπάνια κακόβουλου λογισμικού DollyWay

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:
Ελληνικά

Το DollyWay, μια λειτουργία κακόβουλου λογισμικού που είναι ενεργή από το 2016, έχει θέσει σε κίνδυνο πάνω από 20.000 ιστότοπους WordPress παγκοσμίως. Αυτή η συνεχιζόμενη καμπάνια έχει γίνει πιο εξελιγμένη με τα χρόνια, βελτιώνοντας τις στρατηγικές φοροδιαφυγής, επαναμόλυνσης και δημιουργίας εσόδων, γεγονός που την καθιστά σημαντική απειλή για την ασφάλεια του ιστότοπου.

Η εξέλιξη της DollyWay σε σύστημα ανακατεύθυνσης τακτικής

Αρχικά, η DollyWay διένειμε ransomware και τραπεζικά trojans, αποτελώντας άμεση απειλή για τους επισκέπτες του ιστότοπου. Ωστόσο, στην τρέχουσα έκδοσή του (DollyWay v3), το κακόβουλο λογισμικό έχει στρέψει το ενδιαφέρον του στη λειτουργία ως σύστημα ανακατεύθυνσης απάτης, οδηγώντας τους χρήστες σε δόλιους ιστότοπους.

Πρόσφατη έρευνα αποκάλυψε ότι το DollyWay είναι μέρος μιας πιο εκτεταμένης, μακροχρόνιας επιχείρησης γνωστής ως «DollyWay World Domination». Η λειτουργία περιλαμβάνει πολλές καμπάνιες που μοιράζονται παρόμοιο κώδικα, υποδομή και τακτικές δημιουργίας εσόδων. Το κακόβουλο λογισμικό πήρε το όνομά του από τη συμβολοσειρά που βρίσκεται στον κώδικά του:

Πώς το DollyWay v3 θέτει σε κίνδυνο χιλιάδες ιστότοπους WordPress

Το DollyWay v3 στοχεύει ευάλωτους ιστότοπους WordPress εκμεταλλευόμενοι ελαττώματα n-day σε προσθήκες και θέματα. Μόλις παραβιαστεί ένας ιστότοπος, το κακόβουλο λογισμικό ανακατευθύνει τους επισκέπτες σε κακόβουλους ιστότοπους που προσφέρουν ψεύτικα ραντεβού, τζόγο, απάτες κρυπτονομισμάτων και κληρώσεις.

Από τον Φεβρουάριο του 2025, η DollyWay είναι υπεύθυνη για τη δημιουργία πάνω από 10 εκατομμύρια δόλιες εμφανίσεις ανά μήνα, κατευθύνοντας την επισκεψιμότητα σε σελίδες απάτης που δημιουργούν έσοδα μέσω των δικτύων θυγατρικών VexTrio και LosPollos. Η διαχείριση αυτής της διαδικασίας ανακατεύθυνσης γίνεται μέσω ενός συστήματος κατευθύνσεων κυκλοφορίας (TDS) που φιλτράρει τους χρήστες με βάση συγκεκριμένα χαρακτηριστικά.

Η διαδικασία της μόλυνσης σε τρία στάδια

  • Ρύθμιση ένεσης και ανακατεύθυνσης : Το κακόβουλο λογισμικό εισάγει ένα σενάριο στον ιστότοπο χρησιμοποιώντας το wp_enqueue_script, φορτώνοντας ένα δεύτερο μη ασφαλές σενάριο από τον παραβιασμένο ιστότοπο.
  • Φιλτράρισμα επισκεψιμότητας : Το δεύτερο σενάριο αναλύει δεδομένα παραπομπής επισκεπτών, κατηγοριοποιώντας τους στόχους ανακατεύθυνσης. Οι χρήστες δεν ανακατευθύνονται εάν:
  • Δεν υπάρχει παραπομπός (που επισκέφτηκε απευθείας τον ιστότοπο).
  • Εντοπίζονται ως bots.
  • Είναι συνδεδεμένοι χρήστες του WordPress, συμπεριλαμβανομένων των διαχειριστών.
  • Τελική ανακατεύθυνση σε δόλιες σελίδες : Τρεις τυχαία μολυσμένοι ιστότοποι λειτουργούν ως κόμβοι TDS, φορτώνοντας κρυφή JavaScript που ανακατευθύνει τον επισκέπτη σε σελίδες απάτης VexTrio ή LosPollos. Αυτή η ανακατεύθυνση συμβαίνει μόνο όταν ο επισκέπτης κάνει κλικ σε ένα στοιχείο σελίδας, καθιστώντας τον πιο δύσκολο τον εντοπισμό του.

DollyWay's Persistence and Stealth Techniques

Η DollyWay έχει αναπτύξει μια σειρά τεχνικών για να εξασφαλίσει την παραμονή της σε μολυσμένα σημεία. Μόλις παραβιάσει έναν ιστότοπο WordPress, το κακόβουλο λογισμικό διασφαλίζει ότι μολύνει εκ νέου με κάθε φόρτωση σελίδας, καθιστώντας δύσκολη την αφαίρεση. Εδώ είναι οι βασικές τακτικές του:

  • Διάδοση κώδικα PHP σε ενεργά πρόσθετα.
  • Έγχυση κακόβουλου κώδικα στην προσθήκη WPCode (ένα εργαλείο τρίτου μέρους που χρησιμοποιείται για την τροποποίηση του WordPress χωρίς αλλαγή των βασικών αρχείων).
  • Η απόκρυψη του WPCode από τη λίστα προσθηκών καθιστά αόρατο στους διαχειριστές και πιο δύσκολη την κατάργησή του.

Επιπλέον, το κακόβουλο λογισμικό δημιουργεί κρυφούς λογαριασμούς διαχειριστή με τυχαίες δεκαεξαδικές συμβολοσειρές 32 χαρακτήρων, οι οποίες είναι ορατές μόνο μέσω άμεσης επιθεώρησης της βάσης δεδομένων, διασφαλίζοντας ότι οι εισβολείς διατηρούν τον έλεγχο του ιστότοπου.

Συμπέρασμα: Μια επίμονη και εξελισσόμενη απειλή

Το DollyWay είναι μια συνεχής και ανθεκτική καμπάνια κακόβουλου λογισμικού που συνεχίζει να εξελίσσεται με όλο και πιο εξελιγμένες τακτικές. Η ικανότητά του να:

  • Επαναμολύνετε τους ιστότοπους αυτόματα
  • Αποφύγετε τον εντοπισμό μέσω κρυφών σεναρίων και λογαριασμών διαχειριστή
  • Δημιουργία εσόδων από την κυκλοφορία ανακατεύθυνσης μέσω δικτύων που σχετίζονται με απάτη

…το καθιστά σοβαρή απειλή για τους κατόχους ιστότοπων WordPress παγκοσμίως. Οι διαχειριστές ιστοτόπων πρέπει να παραμείνουν σε επαγρύπνηση και να ενημερώνουν τακτικά τα θέματα, τις προσθήκες και τα πρωτόκολλα ασφαλείας για τον μετριασμό των κινδύνων μόλυνσης.

Τάσεις

Εργαλεία Klio Verfair

Πιθανώς ανεπιθύμητα προγράμματα, Κακόβουλο λογισμικό
Τα δυνητικά ανεπιθύμητα προγράμματα (PUP) συχνά απορρίπτονται ως μικρές ενοχλήσεις, αλλά ενδέχεται να θέτουν σοβαρούς κινδύνους για το απόρρητο των χρηστών και την ασφάλεια του συστήματος. Αυτές οι...

BADBOX 2 Λειτουργία Botnet

Botnets
Οι ερευνητές πληροφοριών απειλών εντόπισαν ένα από τα μεγαλύτερα botnets που έχουν εντοπιστεί ποτέ, μολύνοντας περισσότερες από ένα εκατομμύριο συσκευές Android με μια κερκόπορτα. Αυτή η ανακάλυψη ακολουθεί αναφορές για πολλαπλές ευπάθειες ασφαλείας στο Google Chrome, προειδοποιήσεις από το YouTube σχετικά με τακτικές κλοπής διαπιστευτηρίων και επιβεβαίωση επιθέσεων zero-day που στοχεύουν...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
27,274
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...