הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית קמפיין DollyWay Malware

קמפיין DollyWay Malware

עד Mezo ב-תוכנה זדונית
לתרגם ל:
עברית

DollyWay, פעולת תוכנה זדונית הפעילה מאז 2016, פגעה למעלה מ-20,000 אתרי וורדפרס ברחבי העולם. מסע פרסום מתמשך זה השתכלל עם השנים, חידד את אסטרטגיות ההתחמקות, ההדבקה מחדש והמונטיזציה שלו, מה שהופך אותו לאיום משמעותי על אבטחת האתר.

האבולוציה של DollyWay למערכת ניתוב מחדש טקטית

בתחילה, DollyWay הפיצה תוכנות כופר וסוסים טרויאניים בנקאיים, מה שהיוו איום ישיר על המבקרים באתר. עם זאת, בגרסה הנוכחית שלה (DollyWay v3), התוכנה הזדונית העבירה את המיקוד לפעולה כמערכת להפניה מחדש של הונאה, מה שהוביל משתמשים לאתרי הונאה.

מחקרים אחרונים גילו ש-DollyWay היא חלק ממבצע נרחב יותר וארוך טווח המכונה 'DollyWay World Domination'. הפעולה כוללת מספר קמפיינים שחולקים קוד, תשתית וטקטיקות מונטיזציה דומות. התוכנה הזדונית נקראת על שם המחרוזת שנמצאת בקוד שלה:

כיצד DollyWay v3 מתפשר על אלפי אתרי וורדפרס

DollyWay v3 ממקד אתרי וורדפרס פגיעים על ידי ניצול פגמים של n-ימים בתוספים ובערכות נושא. ברגע שאתר נפגע, התוכנה הזדונית מפנה מבקרים לאתרים זדוניים המציעים היכרויות מזויפות, הימורים, הונאות במטבעות קריפטוגרפיים והגרלות.

החל מפברואר 2025, DollyWay אחראית על יצירת למעלה מ-10 מיליון הופעות הונאה בחודש, והפניית תנועה לדפי הונאה שיוצרו רווחים באמצעות רשתות שותפות של VexTrio ו-LosPollos. תהליך ההפניה מחדש מנוהל באמצעות מערכת כיוון תנועה (TDS) המסננת משתמשים על סמך מאפיינים ספציפיים.

תהליך ההדבקה התלת שלבי

  • הגדרת הזרקה והפניה מחדש : התוכנה הזדונית מחדירת סקריפט לאתר באמצעות wp_enqueue_script, ומטעינה סקריפט שני לא בטוח מהאתר שנפרץ.
  • סינון תנועה : הסקריפט השני מנתח נתוני מפנה מבקרים, ומסווג את יעדי ההפניה מחדש. משתמשים אינם מופנים מחדש אם הם:
  • אין מפנה (מי שביקר ישירות באתר).
  • מזוהים כרובוטים.
  • האם משתמשי וורדפרס מחוברים, כולל מנהלי מערכת.
  • הפנייה סופית לדפים הונאה : שלושה אתרים נגועים באקראי פועלים כצמתי TDS, טוענים JavaScript מוסתר שמפנה את המבקר לדפי הונאה של VexTrio או LosPollos. ההפניה מחדש מתרחשת רק כאשר המבקר לוחץ על רכיב דף, מה שמקשה על זיהויו.

טכניקות ההתמדה וההתגנבות של DollyWay

DollyWay פיתחה מגוון טכניקות כדי להבטיח את התמדה שלה באתרים נגועים. ברגע שהוא מתפשר על אתר וורדפרס, התוכנה הזדונית מבטיחה שהוא יידבק מחדש בכל טעינת עמוד, מה שמקשה על ההסרה. להלן טקטיקות המפתח שלו:

  • הפצת קוד PHP על פני תוספים פעילים.
  • הזרקת קוד זדוני לפלאגין WPCode (כלי צד שלישי המשמש לשינוי וורדפרס מבלי לשנות קבצי ליבה).
  • הסתרת WPCode מרשימת התוספים הופכת אותו לבלתי נראה למנהלי מערכת ומאתגרת יותר להסירו.

בנוסף, התוכנה הזדונית יוצרת חשבונות אדמין נסתרים עם מחרוזות hex אקראיות של 32 תווים, הנראות רק באמצעות בדיקה ישירה של מסד נתונים, מה שמבטיח שתוקפים שומרים על שליטה באתר.

מסקנה: איום מתמשך ומתפתח

DollyWay הוא קמפיין תוכנה זדוני מתמשך וגמיש שממשיך להתפתח עם טקטיקות מתוחכמות יותר ויותר. היכולת שלו:

  • הדבק מחדש אתרים באופן אוטומטי
  • התחמק מזיהוי באמצעות סקריפטים מוסתרים וחשבונות ניהול
  • ייצר רווח מתעבורת ניתוב מחדש דרך רשתות הקשורות להונאה

...הופך אותו לאיום רציני עבור בעלי אתרי וורדפרס ברחבי העולם. מנהלי אתרים חייבים לשמור על ערנות ולעדכן ערכות נושא, תוספים ופרוטוקולי אבטחה באופן קבוע כדי להפחית את סיכוני ההידבקות.

מגמות

תפעול הבוטנט של BADBOX 2

Botnets
חוקרי מודיעין איומים זיהו את אחד הבוטנטים הגדולים ביותר שזוהו אי פעם, והדביק יותר ממיליון מכשירי אנדרואיד בדלת אחורית. תגלית זו באה בעקבות דיווחים על פרצות אבטחה מרובות ב-Google Chrome, אזהרות מ-YouTube לגבי טקטיקות של גניבת אישורים ואישור של התקפות אפס יום המכוונות לסמארטפונים אנדרואיד. BADBOX 2.0: האיום החבוי מאחורי הזיהום רשת הבוטנט, ששמה BADBOX 2.0, נקשרה לפעולת הונאה בקנה מידה גדול המכוונת...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
27,274
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...