DollyWay Malware Kampány
A DollyWay, egy 2016 óta működő rosszindulatú program, több mint 20 000 WordPress-webhelyet veszélyeztetett világszerte. Ez a folyamatban lévő kampány az évek során kifinomultabbá vált, finomította az elkerülési, újrafertőzési és bevételszerzési stratégiáit, ami jelentős veszélyt jelent a webhely biztonságára nézve.
Tartalomjegyzék
A DollyWay evolúciója taktikai átirányítási rendszerré
Kezdetben a DollyWay zsarolóvírusokat és banki trójaiakat terjesztett, ami közvetlen veszélyt jelentett az oldal látogatóira. Jelenlegi verziójában (DollyWay v3) azonban a rosszindulatú program a hangsúlyt áttérés-átirányító rendszerként való működésre helyezte, így a felhasználókat csalárd oldalakra irányítja.
A legújabb kutatások feltárták, hogy a DollyWay egy kiterjedtebb, hosszú távú, „DollyWay World Domination” néven ismert művelet része. A művelet több kampányt tartalmaz, amelyek hasonló kódot, infrastruktúrát és bevételszerzési taktikát használnak. A rosszindulatú program nevét a kódjában található karakterláncról kapta:
Hogyan veszélyezteti a DollyWay v3 több ezer WordPress webhelyet
A DollyWay v3 a sebezhető WordPress-webhelyeket célozza meg a bővítmények és témák n napos hibáinak kihasználásával. Ha egy webhelyet feltörtek, a rosszindulatú program olyan rosszindulatú webhelyekre irányítja át a látogatókat, amelyek hamis randevúzásokat, szerencsejátékokat, kriptovaluta-csalásokat és nyereményjátékokat kínálnak.
2025 februárjától a DollyWay havi több mint 10 millió csalárd megjelenítésért felel, a forgalmat a VexTrio és a LosPollos társult hálózatain keresztül bevételszerzésre szánt átverő oldalakra irányítva. Ezt az átirányítási folyamatot a Traffic Direction System (TDS) kezeli, amely meghatározott jellemzők alapján szűri a felhasználókat.
A három szakaszból álló fertőzési folyamat
- Befecskendezés és átirányítás beállítása : A rosszindulatú program a wp_enqueue_script használatával szkriptet szúr be a webhelyre, és betölt egy második nem biztonságos szkriptet a feltört webhelyről.
- Forgalomszűrés : A második szkript elemzi a látogatói hivatkozó adatokat, és kategorizálja az átirányítási célokat. A felhasználók nem kerülnek átirányításra, ha:
- Nincs hivatkozó (aki közvetlenül meglátogatta a webhelyet).
- Botokként észlelhetők.
- Bejelentkezett WordPress-felhasználók, beleértve az adminisztrátorokat is.
- Végső átirányítás csaló oldalakra : Három véletlenszerűen fertőzött webhely TDS-csomópontként működik, rejtett JavaScriptet töltve be, amely átirányítja a látogatót a VexTrio vagy a LosPollos átverő oldalaira. Ez az átirányítás csak akkor történik meg, ha a látogató egy oldalelemre kattint, ami megnehezíti az észlelést.
A DollyWay kitartási és lopakodó technikái
A DollyWay egy sor technikát fejlesztett ki, hogy biztosítsa a fertőzött webhelyeken való fennmaradását. Amint feltör egy WordPress-webhelyet, a rosszindulatú program biztosítja, hogy minden oldalbetöltéskor újrafertőződjön, megnehezítve az eltávolítást. Íme a legfontosabb taktikái:
- PHP kód terjesztése az aktív bővítmények között.
- Rosszindulatú kód beszúrása a WPCode beépülő modulba (egy harmadik féltől származó eszköz a WordPress módosítására az alapvető fájlok módosítása nélkül).
- A WPCode elrejtése a bővítmények listájából láthatatlanná teszi a rendszergazdák számára, és nagyobb kihívást jelent az eltávolítása.
Ezenkívül a rosszindulatú program rejtett rendszergazdai fiókokat hoz létre véletlenszerű, 32 karakterből álló hexa karakterláncokkal, amelyek csak a közvetlen adatbázis-ellenőrzés során láthatók, így biztosítva, hogy a támadók fenntartsák az ellenőrzést a webhely felett.
Következtetés: tartós és folyamatosan fejlődő fenyegetés
A DollyWay egy folyamatos és rugalmas kártevő-kampány, amely folyamatosan fejlődik, egyre kifinomultabb taktikákkal. A képessége, hogy:
- A webhelyek automatikus újrafertőzése
- A rejtett szkriptek és rendszergazdai fiókok segítségével elkerülheti az észlelést
- Szerezzen bevételt az átirányítási forgalomból a csalással kapcsolatos hálózatokon keresztül
…komoly fenyegetést jelent a WordPress webhelytulajdonosok számára világszerte. A webhely adminisztrátorainak ébernek kell maradniuk, és rendszeresen frissíteniük kell a témákat, a beépülő modulokat és a biztonsági protokollokat a fertőzés kockázatának csökkentése érdekében.
