DollyWay Malware Campaign
2016 से सक्रिय मैलवेयर ऑपरेशन डॉलीवे ने वैश्विक स्तर पर 20,000 से अधिक वर्डप्रेस साइटों को खतरे में डाला है। यह चल रहा अभियान पिछले कुछ वर्षों में और अधिक परिष्कृत हो गया है, इसकी चोरी, पुनः संक्रमण और मुद्रीकरण रणनीतियों को परिष्कृत करते हुए, यह साइट सुरक्षा के लिए एक महत्वपूर्ण खतरा बन गया है।
विषयसूची
डॉलीवे का एक रणनीति पुनर्निर्देशन प्रणाली में विकास
शुरुआत में, डॉलीवे ने रैनसमवेयर और बैंकिंग ट्रोजन वितरित किए, जो साइट विज़िटर के लिए सीधा खतरा थे। हालाँकि, अपने वर्तमान संस्करण (डॉलीवे v3) में, मैलवेयर ने अपना ध्यान स्कैम रीडायरेक्शन सिस्टम के रूप में काम करने पर केंद्रित कर लिया है, जो उपयोगकर्ताओं को धोखाधड़ी वाली साइटों पर ले जाता है।
हाल ही में किए गए शोध से पता चला है कि डॉलीवे एक अधिक व्यापक, लंबे समय से चल रहे ऑपरेशन का हिस्सा है जिसे 'डॉलीवे वर्ल्ड डोमिनेशन' के नाम से जाना जाता है। इस ऑपरेशन में कई अभियान शामिल हैं जो समान कोड, बुनियादी ढांचे और मुद्रीकरण रणनीति साझा करते हैं। मैलवेयर का नाम उसके कोड में पाए जाने वाले स्ट्रिंग के नाम पर रखा गया है:
डॉलीवे v3 कैसे हजारों वर्डप्रेस साइटों से समझौता करता है
डॉलीवे v3 प्लगइन्स और थीम में एन-डे खामियों का फायदा उठाकर कमजोर वर्डप्रेस साइट्स को निशाना बनाता है। एक बार जब साइट से छेड़छाड़ की जाती है, तो मैलवेयर आगंतुकों को नकली डेटिंग, जुआ, क्रिप्टोकरेंसी घोटाले और स्वीपस्टेक की पेशकश करने वाली दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित करता है।
फरवरी 2025 तक, डॉलीवे हर महीने 10 मिलियन से ज़्यादा धोखाधड़ी वाले इंप्रेशन बनाने के लिए ज़िम्मेदार है, जो ट्रैफ़िक को स्कैम पेजों पर निर्देशित करता है, जिन्हें वेक्सट्रियो और लॉसपोलोस सहबद्ध नेटवर्क के ज़रिए मुद्रीकृत किया जाता है। इस पुनर्निर्देशन प्रक्रिया को ट्रैफ़िक डायरेक्शन सिस्टम (TDS) के ज़रिए प्रबंधित किया जाता है जो विशिष्ट विशेषताओं के आधार पर उपयोगकर्ताओं को फ़िल्टर करता है।
तीन-चरणीय संक्रमण प्रक्रिया
- इंजेक्शन और पुनर्निर्देशन सेटअप : मैलवेयर wp_enqueue_script का उपयोग करके साइट में एक स्क्रिप्ट इंजेक्ट करता है, जो कि संक्रमित साइट से दूसरी असुरक्षित स्क्रिप्ट लोड करता है।
- ट्रैफ़िक फ़िल्टरिंग : दूसरी स्क्रिप्ट विज़िटर रेफ़रर डेटा का विश्लेषण करती है, पुनर्निर्देशन लक्ष्यों को वर्गीकृत करती है। उपयोगकर्ताओं को पुनर्निर्देशित नहीं किया जाता है यदि वे:
- कोई रेफरर नहीं है (जिसने सीधे वेबसाइट देखी हो)।
- बॉट के रूप में पहचाने जाते हैं.
- क्या व्यवस्थापकों सहित लॉग-इन वर्डप्रेस उपयोगकर्ता हैं?
- धोखाधड़ी वाले पेजों पर अंतिम पुनर्निर्देशन : तीन बेतरतीब ढंग से संक्रमित साइटें टीडीएस नोड्स के रूप में कार्य करती हैं, जो छिपी हुई जावास्क्रिप्ट लोड करती हैं जो विज़िटर को वेक्सट्रियो या लॉसपोलोस घोटाले वाले पेजों पर पुनर्निर्देशित करती हैं। यह पुनर्निर्देशन केवल तब होता है जब विज़िटर किसी पेज तत्व पर क्लिक करता है, जिससे इसका पता लगाना कठिन हो जाता है।
डॉलीवे की दृढ़ता और चुपके तकनीक
डॉलीवे ने संक्रमित साइटों पर अपनी निरंतरता सुनिश्चित करने के लिए कई तकनीकें विकसित की हैं। एक बार जब यह किसी वर्डप्रेस साइट से समझौता कर लेता है, तो मैलवेयर यह सुनिश्चित करता है कि हर पेज लोड होने पर यह फिर से संक्रमित हो जाए, जिससे इसे हटाना मुश्किल हो जाता है। यहाँ इसकी मुख्य रणनीतियाँ दी गई हैं:
- सक्रिय प्लगइन्स में PHP कोड का प्रसार करना।
- WPCode प्लगइन (एक तृतीय-पक्ष उपकरण जो कोर फ़ाइलों को बदले बिना वर्डप्रेस को संशोधित करने के लिए उपयोग किया जाता है) में दुर्भावनापूर्ण कोड इंजेक्ट करना।
- प्लगइन सूची से WPCode को छुपाने से यह प्रशासकों के लिए अदृश्य हो जाता है और इसे हटाना अधिक चुनौतीपूर्ण हो जाता है।
इसके अतिरिक्त, मैलवेयर यादृच्छिक 32-वर्ण हेक्स स्ट्रिंग के साथ छिपे हुए एडमिन खाते बनाता है, जो केवल प्रत्यक्ष डेटाबेस निरीक्षण के माध्यम से दिखाई देते हैं, जिससे यह सुनिश्चित होता है कि हमलावर साइट पर नियंत्रण बनाए रखें।
निष्कर्ष: एक सतत और विकसित होता खतरा
डॉलीवे एक निरंतर चलने वाला और लचीला मैलवेयर अभियान है जो लगातार परिष्कृत रणनीतियों के साथ विकसित होता रहता है। इसकी क्षमता:
- साइटों को स्वचालित रूप से पुनः संक्रमित करें
- छिपी हुई स्क्रिप्ट और एडमिन खातों के माध्यम से पता लगाने से बचें
- धोखाधड़ी से संबंधित नेटवर्क के माध्यम से पुनर्निर्देशन ट्रैफ़िक का मुद्रीकरण करें
...यह दुनिया भर में वर्डप्रेस साइट मालिकों के लिए एक गंभीर खतरा है। वेबसाइट प्रशासकों को सतर्क रहना चाहिए और संक्रमण के जोखिम को कम करने के लिए नियमित रूप से थीम, प्लगइन्स और सुरक्षा प्रोटोकॉल को अपडेट करना चाहिए।
