DollyWay pahavarakampaania

Alates 2016. aastast tegutsev pahavara DollyWay on ohustanud üle 20 000 WordPressi saidi üle maailma. See käimasolev kampaania on aastate jooksul muutunud keerukamaks, täiustades oma kõrvalehoidmise, uuesti nakatumise ja monetiseerimisstrateegiaid, muutes selle oluliseks ohuks saidi turvalisusele.

DollyWay evolutsioon taktikaliseks ümbersuunamissüsteemiks

Algselt levitas DollyWay lunavara ja pangandustroojalasi, mis kujutas otsest ohtu saidi külastajatele. Kuid oma praeguses versioonis (DollyWay v3) on pahavara keskendunud pettuse ümbersuunamissüsteemile, mis viib kasutajad petturlikele saitidele.

Hiljutised uuringud on näidanud, et DollyWay on osa ulatuslikumast ja pikaajalisemast operatsioonist, mida tuntakse kui DollyWay World Domination. Toiming hõlmab mitut kampaaniat, millel on sarnane kood, infrastruktuur ja monetiseerimistaktikad. Pahavara on nime saanud selle koodist leitud stringi järgi:

Kuidas DollyWay v3 ohustab tuhandeid WordPressi saite

DollyWay v3 sihib haavatavaid WordPressi saite, kasutades ära pistikprogrammide ja teemade n-päevaseid vigu. Kui sait on ohustatud, suunab pahavara külastajad ümber pahatahtlikele saitidele, mis pakuvad võltskohtinguid, hasartmänge, krüptovaluutapettusi ja loteriisid.

Alates 2025. aasta veebruarist vastutab DollyWay üle 10 miljoni petturliku näitamise eest kuus, suunates liiklust petulehtedele, mida rahastatakse VexTrio ja LosPollose sidusvõrkude kaudu. Seda ümbersuunamisprotsessi juhitakse liikluse suunasüsteemi (TDS) kaudu, mis filtreerib kasutajaid konkreetsete omaduste alusel.

Kolmeastmeline nakkusprotsess

• Süstimise ja ümbersuunamise seadistamine : pahavara sisestab saidile skripti, kasutades wp_enqueue_scripti, laadides ohustatud saidilt teise ebaturvalise skripti.
• Liikluse filtreerimine : teine skript analüüsib külastajate viiteandmeid, kategoriseerides ümbersuunamise sihtmärgid. Kasutajaid ei suunata ümber, kui nad:
• Viitajat (kes otse veebisaiti külastas) pole.
• Tuvastatakse robotitena.
• Kas on sisse logitud WordPressi kasutajad, sealhulgas administraatorid.
• Lõplik ümbersuunamine petturlikele lehtedele : kolm juhuslikult nakatunud saiti toimivad TDS-i sõlmedena, laadides peidetud JavaScripti, mis suunab külastaja VexTrio või LosPollose kelmuse lehtedele. See ümbersuunamine toimub ainult siis, kui külastaja klõpsab lehe elemendil, muutes selle tuvastamise raskemaks.

DollyWay püsivus- ja varjamistehnikad

DollyWay on välja töötanud rea tehnikaid, et tagada selle püsivus nakatunud saitidel. Kui pahavara on WordPressi saidi ohustanud, nakatab see uuesti iga lehe laadimisega, muutes eemaldamise keeruliseks. Siin on selle peamised taktikad:

• PHP-koodi levitamine aktiivsete pistikprogrammide vahel.
• Pahatahtliku koodi sisestamine WPCode'i pistikprogrammi (kolmanda osapoole tööriist, mida kasutatakse WordPressi muutmiseks põhifaile muutmata).
• WPCode'i pistikprogrammide loendist peitmine muudab selle administraatoritele nähtamatuks ja eemaldamise keerulisemaks.

Lisaks loob pahavara peidetud administraatorikontosid juhuslike 32-tähemärgiliste kuueteistkümnendstringidega, mis on nähtavad ainult otsese andmebaasikontrolli kaudu, tagades, et ründajad säilitavad saidi üle kontrolli.

Järeldus: püsiv ja arenev oht

DollyWay on jätkuv ja vastupidav pahavarakampaania, mis areneb üha keerukamate taktikate abil. Selle võime:

• Infitseerige saidid automaatselt uuesti
• Vältige tuvastamist peidetud skriptide ja administraatorikontode kaudu
• Raha teenige ümbersuunamisliiklust pettustega seotud võrkude kaudu

…on see tõsine oht WordPressi saidiomanikele kogu maailmas. Veebisaidi administraatorid peavad jääma valvsaks ning värskendama regulaarselt teemasid, pistikprogramme ja turvaprotokolle, et vähendada nakatumisohtu.