DollyWay kampanja zlonamjernog softvera
DollyWay, operacija zlonamjernog softvera aktivna od 2016., ugrozila je preko 20.000 WordPress stranica diljem svijeta. Ova kampanja koja je u tijeku postala je sofisticiranija tijekom godina, usavršavajući svoje strategije izbjegavanja, ponovne infekcije i unovčavanja, što je čini značajnom prijetnjom sigurnosti stranice.
Sadržaj
Evolucija DollyWaya u sustav taktičkog preusmjeravanja
U početku je DollyWay distribuirao ransomware i bankarske trojance, predstavljajući izravnu prijetnju posjetiteljima stranice. Međutim, u svojoj trenutnoj verziji (DollyWay v3), zlonamjerni je softver prebacio fokus na funkcioniranje kao sustav za preusmjeravanje prijevare, vodeći korisnike na lažna mjesta.
Nedavno istraživanje otkrilo je da je DollyWay dio opsežnije, dugotrajne operacije poznate kao 'DollyWay svjetska dominacija.' Operacija uključuje više kampanja koje dijele sličan kod, infrastrukturu i taktike unovčavanja. Malware je nazvan prema nizu koji se nalazi u njegovom kodu:
Kako DollyWay v3 ugrožava tisuće WordPress stranica
DollyWay v3 cilja na ranjive WordPress stranice iskorištavanjem n-dnevnih nedostataka u dodacima i temama. Nakon što je web mjesto kompromitirano, zlonamjerni softver preusmjerava posjetitelje na zlonamjerna web mjesta koja nude lažne spojeve, kockanje, prijevare s kriptovalutama i nagradne igre.
Od veljače 2025. DollyWay je odgovoran za generiranje više od 10 milijuna lažnih pojavljivanja mjesečno, usmjeravajući promet na prijevarne stranice koje se unovčavaju putem VexTrio i LosPollos partnerskih mreža. Ovim postupkom preusmjeravanja upravlja sustav usmjeravanja prometa (TDS) koji filtrira korisnike na temelju specifičnih karakteristika.
Trofazni proces infekcije
- Postavljanje ubacivanja i preusmjeravanja : zlonamjerni softver ubacuje skriptu na web mjesto koristeći wp_enqueue_script, učitavajući drugu nesigurnu skriptu s ugroženog web mjesta.
- Filtriranje prometa : druga skripta analizira podatke o preporukama posjetitelja, kategorizirajući ciljeve preusmjeravanja. Korisnici se ne preusmjeravaju ako:
- Ne postoji referer (koji je izravno posjetio web stranicu).
- Otkrivaju se kao botovi.
- Jesu li prijavljeni korisnici WordPressa, uključujući administratore.
- Konačno preusmjeravanje na prijevarne stranice : Tri nasumično zaražene stranice djeluju kao TDS čvorovi, učitavajući skriveni JavaScript koji preusmjerava posjetitelja na VexTrio ili LosPollos prevarantske stranice. Ovo se preusmjeravanje događa samo kada posjetitelj klikne na element stranice, što ga otežava otkrivanje.
DollyWayeve tehnike upornosti i prikrivanja
DollyWay je razvio niz tehnika kako bi osigurao njegovu postojanost na zaraženim stranicama. Nakon što ugrozi WordPress stranicu, zlonamjerni softver osigurava da se ponovno zarazi pri svakom učitavanju stranice, što otežava uklanjanje. Evo njegovih ključnih taktika:
- Širenje PHP koda na aktivne dodatke.
- Ubacivanje zlonamjernog koda u dodatak WPCode (alat treće strane koji se koristi za izmjenu WordPressa bez mijenjanja osnovnih datoteka).
- Skrivanje WPCodea s popisa dodataka čini ga nevidljivim administratorima i teže ga je ukloniti.
Uz to, zlonamjerni softver stvara skrivene administratorske račune s nasumičnim heksadecimalnim nizovima od 32 znaka, koji su vidljivi samo izravnom inspekcijom baze podataka, osiguravajući napadačima da zadrže kontrolu nad web mjestom.
Zaključak: Trajna prijetnja koja se razvija
DollyWay je stalna i otporna kampanja zlonamjernog softvera koja se nastavlja razvijati uz sve sofisticiranije taktike. Njegova sposobnost da:
- Automatski ponovno zarazite web stranice
- Izbjegnite otkrivanje pomoću skrivenih skripti i administratorskih računa
- Unovčite promet preusmjeravanja putem mreža povezanih s prijevarama
...čini ga ozbiljnom prijetnjom za vlasnike WordPress stranica diljem svijeta. Administratori web stranica moraju biti oprezni i redovito ažurirati teme, dodatke i sigurnosne protokole kako bi umanjili rizik od infekcije.
