DollyWay 맬웨어 캠페인

DollyWay는 2016년부터 활동한 맬웨어 작전으로, 전 세계적으로 20,000개가 넘는 WordPress 사이트를 손상시켰습니다. 이 진행 중인 캠페인은 수년에 걸쳐 더욱 정교해졌으며, 회피, 재감염 및 수익화 전략이 정교해져서 사이트 보안에 상당한 위협이 되었습니다.

DollyWay의 전술적 재지정 시스템으로의 진화

처음에 DollyWay는 랜섬웨어와 뱅킹 트로이 목마를 배포하여 사이트 방문자에게 직접적인 위협을 가했습니다. 하지만 현재 버전(DollyWay v3)에서 이 맬웨어는 사기 리디렉션 시스템으로 작동하여 사용자를 사기성 사이트로 유도하는 데 초점을 맞추었습니다.

최근 연구에 따르면 DollyWay는 'DollyWay World Domination'이라는 더 광범위하고 장기적으로 운영되는 작전의 일부인 것으로 밝혀졌습니다. 이 작전에는 유사한 코드, 인프라 및 수익화 전략을 공유하는 여러 캠페인이 포함됩니다. 이 맬웨어는 코드에서 발견된 문자열의 이름을 따서 명명되었습니다.

DollyWay v3가 수천 개의 WordPress 사이트를 손상시키는 방법

DollyWay v3는 플러그인과 테마의 n-day 결함을 악용하여 취약한 WordPress 사이트를 표적으로 삼습니다. 사이트가 손상되면 맬웨어는 방문자를 가짜 데이트, 도박, 암호화폐 사기 및 경품 추첨을 제공하는 악성 사이트로 리디렉션합니다.

2025년 2월 현재 DollyWay는 월 1,000만 건 이상의 사기성 노출을 생성하여 VexTrio 및 LosPollos 제휴 네트워크를 통해 수익화되는 사기 페이지로 트래픽을 유도합니다. 이 리디렉션 프로세스는 특정 특성에 따라 사용자를 필터링하는 트래픽 방향 시스템(TDS)을 통해 관리됩니다.

3단계 감염 과정

• 주입 및 리디렉션 설정 : 맬웨어는 wp_enqueue_script를 사용하여 사이트에 스크립트를 주입하고, 손상된 사이트에서 두 번째로 안전하지 않은 스크립트를 로드합니다.
• 트래픽 필터링 : 두 번째 스크립트는 방문자 리퍼러 데이터를 분석하여 리디렉션 대상을 분류합니다. 사용자는 다음과 같은 경우 리디렉션되지 않습니다.
• 추천인(웹사이트를 직접 방문한 사람)이 없습니다.
• 봇으로 감지됩니다.
• 관리자를 포함한 WordPress에 로그인한 사용자입니다.
• 사기 페이지로의 최종 리디렉션 : 무작위로 감염된 세 사이트가 TDS 노드 역할을 하며, 방문자를 VexTrio 또는 LosPollos 사기 페이지로 리디렉션하는 숨겨진 JavaScript를 로드합니다. 이 리디렉션은 방문자가 페이지 요소를 클릭할 때만 발생하므로 감지하기 어렵습니다.

DollyWay의 지속성과 은밀성 기술

DollyWay는 감염된 사이트에서 지속성을 보장하기 위해 다양한 기술을 개발했습니다. WordPress 사이트를 손상시키면 맬웨어는 모든 페이지 로드 시 재감염되므로 제거하기 어렵습니다. 주요 전략은 다음과 같습니다.

• 활성 플러그인에 PHP 코드를 확산합니다.
• WPCode 플러그인(핵심 파일을 변경하지 않고 WordPress를 수정하는 데 사용되는 타사 도구)에 악성 코드를 삽입합니다.
• 플러그인 목록에서 WPCode를 숨기면 관리자에게 표시되지 않으며 제거하기가 더 어려워집니다.

또한, 맬웨어는 32자리의 무작위 16진수 문자열로 된 숨겨진 관리자 계정을 생성하는데, 이는 직접 데이터베이스를 검사해서만 볼 수 있으므로 공격자는 사이트를 계속 제어할 수 있습니다.

결론: 지속적이고 진화하는 위협

DollyWay는 점점 더 정교해지는 전술로 계속 진화하는 지속적이고 회복성 있는 맬웨어 캠페인입니다. 다음과 같은 기능을 제공합니다.

• 사이트를 자동으로 재감염
• 숨겨진 스크립트와 관리자 계정을 통해 감지 회피
• 사기 관련 네트워크를 통해 리디렉션 트래픽을 수익화합니다.

…전 세계 WordPress 사이트 소유자에게 심각한 위협이 됩니다. 웹사이트 관리자는 경계를 늦추지 말고 테마, 플러그인, 보안 프로토콜을 정기적으로 업데이트하여 감염 위험을 완화해야 합니다.