Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma DollyWay-haittaohjelmakampanja

DollyWay-haittaohjelmakampanja

Vuonna Mezo vuonna Haittaohjelma
Käännä:
Suomi

DollyWay, vuodesta 2016 lähtien ollut haittaohjelmatoiminta, on vaarantanut yli 20 000 WordPress-sivustoa maailmanlaajuisesti. Tämä meneillään oleva kampanja on kehittynyt vuosien varrella hienostuneempien kierto-, uudelleentartunnan ja kaupallistamisstrategioidensa ansiosta, mikä tekee siitä merkittävän uhan sivuston turvallisuudelle.

DollyWayn kehitys taktiseksi uudelleenohjausjärjestelmäksi

Aluksi DollyWay jakoi kiristysohjelmia ja pankkitroijalaisia, mikä oli suora uhka sivuston vierailijoille. Nykyisessä versiossaan (DollyWay v3) haittaohjelma on kuitenkin siirtynyt toimimaan huijauksen uudelleenohjausjärjestelmänä, mikä on johtanut käyttäjät petollisille sivustoille.

Viimeaikaiset tutkimukset ovat paljastaneet, että DollyWay on osa laajempaa, pitkäaikaisempaa toimintaa, joka tunnetaan nimellä "DollyWay World Domination". Operaatio sisältää useita kampanjoita, joilla on samanlainen koodi, infrastruktuuri ja tuloutustaktiikat. Haittaohjelma on nimetty sen koodissa olevan merkkijonon mukaan:

Kuinka DollyWay v3 vaarantaa tuhansia WordPress-sivustoja

DollyWay v3 kohdistuu haavoittuviin WordPress-sivustoihin hyödyntämällä n-päivän puutteita laajennuksissa ja teemoissa. Kun sivusto on vaarantunut, haittaohjelma ohjaa vierailijat haitallisille sivustoille, jotka tarjoavat väärennettyjä treffejä, uhkapelejä, kryptovaluuttahuijauksia ja arvontoja.

Helmikuusta 2025 lähtien DollyWay on vastuussa yli 10 miljoonan vilpillisen näyttökerran luomisesta kuukaudessa ohjaten liikennettä huijaussivuille, jotka on kaupallistettu VexTrion ja LosPollosin tytäryhtiöverkostojen kautta. Tätä uudelleenohjausprosessia hallitaan Traffic Direction Systemin (TDS) kautta, joka suodattaa käyttäjät tiettyjen ominaisuuksien perusteella.

Kolmivaiheinen infektioprosessi

  • Injektio- ja uudelleenohjausasetukset : Haittaohjelma syöttää komentosarjan sivustoon wp_enqueue_script-komennolla ja lataa toisen vaarallisen komentosarjan vaarantuneelta sivustolta.
  • Liikenteen suodatus : Toinen komentosarja analysoi vierailijoiden viittaustiedot ja luokittelee uudelleenohjauskohteet. Käyttäjiä ei ohjata uudelleen, jos he:
  • Viittausta ei ole (joka vieraili suoraan verkkosivustolla).
  • Havaitaan boteiksi.
  • Ovat kirjautuneita WordPress-käyttäjiä, mukaan lukien järjestelmänvalvojat.
  • Lopullinen uudelleenohjaus petollisille sivuille : Kolme satunnaisesti tartunnan saanutta sivustoa toimivat TDS-solmuina, jotka lataavat piilotettua JavaScriptiä, joka ohjaa vierailijat VexTrio- tai LosPollos-huijaussivuille. Tämä uudelleenohjaus tapahtuu vain, kun vierailija napsauttaa sivuelementtiä, mikä vaikeuttaa sen havaitsemista.

DollyWayn pysyvyys ja varkain tekniikat

DollyWay on kehittänyt useita tekniikoita varmistaakseen sen pysyvyyden tartunnan saaneilla sivustoilla. Kun haittaohjelma vaarantuu WordPress-sivuston, se varmistaa, että se tarttuu uudelleen jokaisen sivulatauksen yhteydessä, mikä tekee poistamisesta vaikeaa. Tässä ovat sen tärkeimmät taktiikat:

  • PHP-koodin levittäminen aktiivisille laajennuksille.
  • Haitallisen koodin lisääminen WPCode-laajennukseen (kolmannen osapuolen työkalu, jolla muokataan WordPressiä muuttamatta ydintiedostoja).
  • WPCoden piilottaminen laajennusluettelosta tekee siitä näkymätön järjestelmänvalvojille ja vaikeampaa poistaa.

Lisäksi haittaohjelma luo piilotettuja järjestelmänvalvojatilejä, joissa on satunnaisia 32-merkkisiä hex-merkkijonoja, jotka näkyvät vain suoran tietokantatarkastuksen kautta, mikä varmistaa, että hyökkääjät pitävät sivuston hallinnassa.

Johtopäätös: Jatkuva ja kehittyvä uhka

DollyWay on jatkuva ja kestävä haittaohjelmakampanja, joka kehittyy jatkuvasti kehittyneemmillä taktiikoilla. Sen kyky:

  • Infektoi sivustot automaattisesti
  • Vältä havaitsemista piilotettujen komentosarjojen ja järjestelmänvalvojatilien avulla
  • Ansaitse uudelleenohjausliikenne petokseen liittyvien verkkojen kautta

…tekee siitä vakavan uhan WordPress-sivustojen omistajille maailmanlaajuisesti. Verkkosivustojen ylläpitäjien on pysyttävä valppaina ja päivitettävä teemoja, laajennuksia ja suojausprotokollia säännöllisesti tartuntariskien vähentämiseksi.

Trendaavat

Eniten katsottu

Ladataan...