کمپین بدافزار DollyWay

DollyWay، یک بدافزار فعال از سال 2016، بیش از 20000 سایت وردپرس را در سراسر جهان در معرض خطر قرار داده است. این کمپین در حال انجام در طول سال‌ها پیچیده‌تر شده است، استراتژی‌های فرار، عفونت مجدد و کسب درآمد را اصلاح کرده و آن را به تهدیدی مهم برای امنیت سایت تبدیل کرده است.

تکامل DollyWay به یک سیستم تغییر مسیر تاکتیکی

در ابتدا، DollyWay باج‌افزار و تروجان‌های بانکی را توزیع می‌کرد که تهدیدی مستقیم برای بازدیدکنندگان سایت بود. با این حال، در نسخه فعلی خود (DollyWay v3)، این بدافزار تمرکز خود را به سمت سیستم هدایت مجدد کلاهبرداری تغییر داده است و کاربران را به سمت سایت های کلاهبرداری هدایت می کند.

تحقیقات اخیر نشان داده است که DollyWay بخشی از یک عملیات گسترده تر و طولانی مدت است که به عنوان "DollyWay World Domination" شناخته می شود. این عملیات شامل کمپین های متعددی است که کد، زیرساخت و تاکتیک های کسب درآمد مشابه را به اشتراک می گذارند. این بدافزار بر اساس رشته ای که در کد آن یافت می شود نامگذاری شده است:

چگونه DollyWay v3 هزاران سایت وردپرس را در معرض خطر قرار می دهد

DollyWay v3 با بهره‌برداری از نقص‌های n روز در افزونه‌ها و تم‌ها، سایت‌های آسیب‌پذیر وردپرس را هدف قرار می‌دهد. هنگامی که یک سایت در معرض خطر قرار می گیرد، بدافزار بازدیدکنندگان را به سایت های مخربی هدایت می کند که دوستیابی جعلی، قمار، کلاهبرداری با ارزهای دیجیتال و قرعه کشی ارائه می دهند.

از فوریه 2025، DollyWay مسئول ایجاد بیش از 10 میلیون نمایش تقلبی در ماه است و ترافیک را به صفحات کلاهبرداری هدایت می کند که از طریق شبکه های وابسته VexTrio و LosPollos کسب درآمد می کنند. این فرآیند تغییر مسیر از طریق یک سیستم جهت گیری ترافیک (TDS) مدیریت می شود که کاربران را بر اساس ویژگی های خاص فیلتر می کند.

فرآیند سه مرحله ای عفونت

• Injection and Redirection Setup : بدافزار یک اسکریپت را با استفاده از wp_enqueue_script به سایت تزریق می کند و اسکریپت ناامن دوم را از سایت در معرض خطر بارگیری می کند.
• فیلتر ترافیک : اسکریپت دوم داده های ارجاع دهنده بازدیدکننده را تجزیه و تحلیل می کند و اهداف تغییر مسیر را دسته بندی می کند. اگر کاربران:
• هیچ ارجاعی وجود ندارد (که مستقیماً از وب سایت بازدید کرده است).
• به عنوان ربات شناسایی می شوند.
• آیا کاربران وارد شده در وردپرس، از جمله ادمین ها هستند.
• تغییر مسیر نهایی به صفحات تقلبی : سه سایت آلوده به طور تصادفی به عنوان گره های TDS عمل می کنند و جاوا اسکریپت پنهان را بارگیری می کنند که بازدید کننده را به صفحات کلاهبرداری VexTrio یا LosPollos هدایت می کند. این تغییر مسیر تنها زمانی اتفاق می‌افتد که بازدیدکننده روی یک عنصر صفحه کلیک می‌کند و تشخیص آن را سخت‌تر می‌کند.

تکنیک های تداوم و پنهان کاری DollyWay

DollyWay طیف وسیعی از تکنیک ها را برای اطمینان از ماندگاری آن در سایت های آلوده توسعه داده است. هنگامی که یک سایت وردپرس به خطر می افتد، بدافزار تضمین می کند که با هر بارگذاری صفحه مجدداً آلوده می شود و حذف آن را دشوار می کند. در اینجا تاکتیک های کلیدی آن آمده است:

• انتشار کد PHP در بین پلاگین های فعال.
• تزریق کد مخرب به افزونه WPCode (ابزار شخص ثالثی که برای اصلاح وردپرس بدون تغییر فایل‌های اصلی استفاده می‌شود).
• پنهان کردن WPCode از لیست افزونه‌ها، آن را برای مدیران نامرئی می‌کند و حذف آن را دشوارتر می‌کند.

علاوه بر این، بدافزار حساب‌های مدیریتی مخفی را با رشته‌های هگز 32 کاراکتری ایجاد می‌کند که فقط از طریق بازرسی مستقیم پایگاه داده قابل مشاهده هستند و اطمینان می‌دهد که مهاجمان کنترل سایت را حفظ می‌کنند.

نتیجه گیری: یک تهدید دائمی و در حال تحول

DollyWay یک کمپین بدافزار در حال انجام و انعطاف‌پذیر است که با تاکتیک‌های پیچیده‌تر به تکامل خود ادامه می‌دهد. توانایی آن برای:

• سایت ها را دوباره به صورت خودکار آلوده کنید
• از شناسایی از طریق اسکریپت‌های مخفی و حساب‌های مدیریت اجتناب کنید
• کسب درآمد از ترافیک تغییر مسیر از طریق شبکه های مرتبط با کلاهبرداری

… آن را به یک تهدید جدی برای صاحبان سایت وردپرس در سراسر جهان تبدیل می کند. مدیران وب‌سایت باید مراقب باشند و تم‌ها، افزونه‌ها و پروتکل‌های امنیتی را مرتباً به‌روزرسانی کنند تا خطرات آلودگی را کاهش دهند.