យុទ្ធនាការ DollyWay Malware

DollyWay ដែលជាប្រតិបត្តិការមេរោគសកម្មតាំងពីឆ្នាំ 2016 បានសម្របសម្រួលគេហទំព័រ WordPress ជាង 20,000 នៅទូទាំងពិភពលោក។ យុទ្ធនាការដែលកំពុងដំណើរការនេះមានភាពស្មុគ្រស្មាញជាងប៉ុន្មានឆ្នាំមកនេះ ដោយបានកែលម្អយុទ្ធសាស្រ្តគេចវេស ការឆ្លងឡើងវិញ និងយុទ្ធសាស្រ្តរកប្រាក់ ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះសុវត្ថិភាពគេហទំព័រ។

ការវិវត្តន៍របស់ DollyWay ទៅជាប្រព័ន្ធប្តូរទិសយុទ្ធសាស្ត្រ

ដំបូងឡើយ DollyWay បានចែកចាយ ransomware និង trojan ធនាគារ ដែលបង្កការគំរាមកំហែងដោយផ្ទាល់ដល់អ្នកទស្សនាគេហទំព័រ។ ទោះយ៉ាងណាក៏ដោយ នៅក្នុងកំណែបច្ចុប្បន្នរបស់វា (DollyWay v3) មេរោគបានផ្លាស់ប្តូរការផ្តោតអារម្មណ៍ទៅប្រតិបត្តិការជាប្រព័ន្ធប្តូរទិសដៅគ្រោងការក្បត់ ដែលនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងបន្លំ។

ការស្រាវជ្រាវថ្មីៗនេះបានបង្ហាញថា DollyWay គឺជាផ្នែកមួយនៃប្រតិបត្តិការដ៏ទូលំទូលាយ និងយូរអង្វែងដែលត្រូវបានគេស្គាល់ថា 'DollyWay World Domination' ។ ប្រតិបត្តិការនេះរួមមានយុទ្ធនាការជាច្រើនដែលចែករំលែកកូដស្រដៀងគ្នា ហេដ្ឋារចនាសម្ព័ន្ធ និងយុទ្ធសាស្ត្ររកប្រាក់។ មេរោគត្រូវបានដាក់ឈ្មោះតាមខ្សែអក្សរដែលបានរកឃើញនៅក្នុងកូដរបស់វា៖

របៀបដែល DollyWay v3 សម្របសម្រួលគេហទំព័រ WordPress រាប់ពាន់

DollyWay v3 កំណត់គោលដៅគេហទំព័រ WordPress ដែលងាយរងគ្រោះដោយការទាញយកគុណវិបត្តិ n-day នៅក្នុងកម្មវិធីជំនួយ និងស្បែក។ នៅពេលដែលគេហទំព័រមួយត្រូវបានសម្របសម្រួល មេរោគនឹងបញ្ជូនអ្នកទស្សនាទៅកាន់គេហទំព័រព្យាបាទដែលផ្តល់ការណាត់ជួបក្លែងក្លាយ ការលេងល្បែងស៊ីសង ការបោកប្រាស់រូបិយប័ណ្ណគ្រីបតូ និងការភ្នាល់ឆ្នោត។

គិតត្រឹមខែកុម្ភៈ ឆ្នាំ 2025 DollyWay ទទួលខុសត្រូវក្នុងការបង្កើតចំណាប់អារម្មណ៍ក្លែងបន្លំជាង 10 លានដងក្នុងមួយខែ ដោយដឹកនាំចរាចរទៅកាន់ទំព័របោកប្រាស់ដែលត្រូវបានរកប្រាក់តាមរយៈបណ្តាញសម្ព័ន្ធ VexTrio និង LosPollos ។ ដំណើរការប្តូរទិសនេះត្រូវបានគ្រប់គ្រងតាមរយៈប្រព័ន្ធទិសដៅចរាចរណ៍ (TDS) ដែលត្រងអ្នកប្រើប្រាស់ដោយផ្អែកលើលក្ខណៈជាក់លាក់។

ដំណើរការឆ្លងបីដំណាក់កាល

• ការដាក់បញ្ចូល និងការកំណត់ការបញ្ជូនបន្ត ៖ មេរោគនេះចាក់បញ្ចូលស្គ្រីបចូលទៅក្នុងគេហទំព័រដោយប្រើ wp_enqueue_script ដោយផ្ទុកស្គ្រីបដែលមិនមានសុវត្ថិភាពទីពីរពីគេហទំព័រដែលត្រូវបានសម្របសម្រួល។
• តម្រងចរាចរណ៍ ៖ ស្គ្រីបទីពីរវិភាគទិន្នន័យអ្នកបញ្ជូនបន្តដោយចាត់ថ្នាក់គោលដៅប្តូរទិស។ អ្នកប្រើប្រាស់មិនត្រូវបានបញ្ជូនបន្តទេ ប្រសិនបើពួកគេ៖
• មិនមានអ្នកបញ្ជូន (ដែលបានចូលមើលគេហទំព័រដោយផ្ទាល់) ។
• ត្រូវបានរកឃើញថាជារូបយន្ត។
• ត្រូវបានចូលអ្នកប្រើប្រាស់ WordPress រួមទាំងអ្នកគ្រប់គ្រងផងដែរ។
• ការបញ្ជូនបន្តចុងក្រោយទៅកាន់ទំព័រក្លែងបន្លំ ៖ គេហទំព័រឆ្លងមេរោគចៃដន្យចំនួនបីដើរតួជាថ្នាំង TDS ផ្ទុក JavaScript ដែលលាក់ដែលបញ្ជូនអ្នកទស្សនាទៅកាន់ទំព័របោកប្រាស់ VexTrio ឬ LosPollos ។ ការបង្វែរទិសដៅនេះកើតឡើងតែនៅពេលដែលអ្នកទស្សនាចុចលើធាតុទំព័រ ដែលធ្វើឱ្យវាពិបាកក្នុងការរកឃើញ។

បច្ចេកទេសតស៊ូ និងបំបាំងកាយរបស់ DollyWay

DollyWay បានបង្កើតបច្ចេកទេសជាច្រើនដើម្បីធានាបាននូវភាពស្ថិតស្ថេររបស់វានៅលើគេហទំព័រដែលមានមេរោគ។ នៅពេលដែលវាសម្របសម្រួលគេហទំព័រ WordPress មេរោគនេះធានាថាវាឆ្លងឡើងវិញជាមួយរាល់ការផ្ទុកទំព័រ ដែលធ្វើឱ្យការដកយកចេញពិបាក។ នេះគឺជាយុទ្ធសាស្ត្រសំខាន់ៗរបស់វា៖

• ការផ្សព្វផ្សាយកូដ PHP នៅលើកម្មវិធីជំនួយសកម្ម។
• បញ្ចូលកូដព្យាបាទទៅក្នុងកម្មវិធីជំនួយ WPCode (ឧបករណ៍ភាគីទីបីដែលប្រើដើម្បីកែប្រែ WordPress ដោយមិនផ្លាស់ប្តូរឯកសារស្នូល)។
• ការលាក់ WPCode ពីបញ្ជីកម្មវិធីជំនួយធ្វើឱ្យអ្នកគ្រប់គ្រងមើលមិនឃើញ ហើយកាន់តែពិបាកដកចេញ។

លើសពីនេះ មេរោគបង្កើតគណនីអ្នកគ្រប់គ្រងដែលលាក់ដោយចៃដន្យ 32 តួអក្សរ hex ដែលអាចមើលឃើញតាមរយៈការត្រួតពិនិត្យមូលដ្ឋានទិន្នន័យដោយផ្ទាល់ ធានាថាអ្នកវាយប្រហាររក្សាការគ្រប់គ្រងលើគេហទំព័រ។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងជាប់លាប់ និងវិវត្តន៍

DollyWay គឺជាយុទ្ធនាការមេរោគដែលកំពុងដំណើរការ និងធន់នឹងការវិវឌ្ឍជាមួយនឹងយុទ្ធសាស្ត្រកាន់តែទំនើប។ សមត្ថភាពរបស់វា៖

• បញ្ចូលគេហទំព័រឡើងវិញដោយស្វ័យប្រវត្តិ
• គេចពីការរកឃើញតាមរយៈស្គ្រីបដែលលាក់ និងគណនីអ្នកគ្រប់គ្រង
• រកប្រាក់បានចរាចរបញ្ជូនបន្តតាមរយៈបណ្តាញដែលទាក់ទងនឹងការក្លែងបន្លំ

…ធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរសម្រាប់ម្ចាស់គេហទំព័រ WordPress ទូទាំងពិភពលោក។ អ្នកគ្រប់គ្រងគេហទំព័រត្រូវតែមានការប្រុងប្រយ័ត្ន និងធ្វើបច្ចុប្បន្នភាពស្បែក កម្មវិធីជំនួយ និងពិធីការសុវត្ថិភាពជាប្រចាំ ដើម្បីកាត់បន្ថយហានិភ័យនៃការឆ្លង។