„DollyWay“ kenkėjiškų programų kampanija
„DollyWay“, kenkėjiškų programų operacija, veikianti nuo 2016 m., visame pasaulyje užblokavo daugiau nei 20 000 „WordPress“ svetainių. Bėgant metams ši vykdoma kampanija tapo sudėtingesnė, tobulindama vengimo, pakartotinio užsikrėtimo ir pajamų gavimo strategijas, todėl ji kelia didelę grėsmę svetainės saugumui.
Turinys
DollyWay evoliucija į taktikos nukreipimo sistemą
Iš pradžių „DollyWay“ platino išpirkos reikalaujančias programas ir bankinius Trojos arklius, sukeldama tiesioginę grėsmę svetainės lankytojams. Tačiau dabartinėje versijoje (DollyWay v3) kenkėjiška programa nukreipta į sukčiavimo peradresavimo sistemą, todėl vartotojai patenka į apgaulingas svetaines.
Naujausi tyrimai atskleidė, kad „DollyWay“ yra platesnės, ilgalaikės operacijos, žinomos kaip „DollyWay World Domination“, dalis. Operacija apima kelias kampanijas, kurios naudojasi panašiu kodu, infrastruktūra ir pajamų gavimo taktika. Kenkėjiška programa pavadinta jos kode esančios eilutės vardu:
Kaip „DollyWay v3“ pažeidžia tūkstančius „WordPress“ svetainių
„DollyWay v3“ taikosi į pažeidžiamas „WordPress“ svetaines, išnaudodama n dienų papildinių ir temų trūkumus. Kai svetainė yra pažeista, kenkėjiška programa nukreipia lankytojus į kenkėjiškas svetaines, siūlančias netikras pažintis, lošimus, kriptovaliutų sukčiavimą ir loterijas.
2025 m. vasario mėn. „DollyWay“ yra atsakinga už daugiau nei 10 milijonų apgaulingų parodymų per mėnesį generavimą, nukreipdama srautą į sukčių puslapius, iš kurių gaunama pajamų per „VexTrio“ ir „LosPollos“ filialų tinklus. Šis peradresavimo procesas valdomas naudojant eismo krypties sistemą (TDS), kuri filtruoja vartotojus pagal konkrečias charakteristikas.
Trijų etapų infekcijos procesas
- Įpurškimo ir peradresavimo sąranka : kenkėjiška programa įveda scenarijų į svetainę naudodama wp_enqueue_script, įkeldama antrą nesaugų scenarijų iš pažeistos svetainės.
- Srauto filtravimas : antrasis scenarijus analizuoja lankytojo persiuntimo duomenis, suskirstydamas peradresavimo tikslus. Vartotojai neperadresuojami, jei:
- Nėra siuntėjo (tiesiogiai apsilankiusio svetainėje).
- Aptinkami kaip robotai.
- Yra prisijungę „WordPress“ vartotojai, įskaitant administratorius.
- Galutinis peradresavimas į apgaulingus puslapius : trys atsitiktinai užkrėstos svetainės veikia kaip TDS mazgai, įkeldamos paslėptą „JavaScript“, kuri nukreipia lankytoją į „VexTrio“ arba „LosPollos“ sukčių puslapius. Šis peradresavimas įvyksta tik lankytojui spustelėjus puslapio elementą, todėl jį sunkiau aptikti.
DollyWay atkaklumo ir slaptumo metodai
„DollyWay“ sukūrė daugybę metodų, užtikrinančių jos išlikimą užkrėstose svetainėse. Kai ji pažeidžia „WordPress“ svetainę, kenkėjiška programa užtikrina, kad ji vėl užkrės kiekvieną puslapį įkeliant, todėl sunku pašalinti. Čia yra pagrindinė jo taktika:
- PHP kodo platinimas aktyviuose papildiniuose.
- Kenkėjiško kodo įvedimas į WPCode papildinį (trečiosios šalies įrankis, naudojamas modifikuoti WordPress nekeičiant pagrindinių failų).
- Paslėpus WPCode iš papildinių sąrašo, jis tampa nematomas administratoriams, o jį pašalinti tampa sudėtingiau.
Be to, kenkėjiška programa sukuria paslėptas administratoriaus paskyras su atsitiktinėmis 32 simbolių šešioliktainėmis eilėmis, kurios matomos tik atliekant tiesioginį duomenų bazės patikrinimą, užtikrinant, kad užpuolikai galėtų kontroliuoti svetainę.
Išvada: nuolatinė ir besivystanti grėsmė
„DollyWay“ yra nuolatinė ir atspari kenkėjiškų programų kampanija, kuri toliau tobulėja taikant vis sudėtingesnę taktiką. Jo gebėjimas:
- Automatiškai iš naujo užkrėskite svetaines
- Venkite aptikimo naudodami paslėptus scenarijus ir administratoriaus paskyras
- Gaukite pajamų iš peradresavimo srauto per su sukčiavimu susijusius tinklus
... kelia rimtą grėsmę „WordPress“ svetainių savininkams visame pasaulyje. Svetainių administratoriai turi išlikti budrūs ir reguliariai atnaujinti temas, papildinius ir saugos protokolus, kad sumažintų užsikrėtimo riziką.
