DollyWay ļaunprātīgas programmatūras kampaņa
DollyWay, ļaunprātīgas programmatūras darbība, kas darbojas kopš 2016. gada, ir apdraudējusi vairāk nekā 20 000 WordPress vietņu visā pasaulē. Šī notiekošā kampaņa gadu gaitā ir kļuvusi sarežģītāka, uzlabojot tās izvairīšanās, atkārtotas inficēšanas un monetizācijas stratēģijas, padarot to par būtisku apdraudējumu vietnes drošībai.
Satura rādītājs
DollyWay evolūcija par taktikas novirzīšanas sistēmu
Sākotnēji DollyWay izplatīja ransomware un banku Trojas zirgus, radot tiešus draudus vietnes apmeklētājiem. Tomēr tās pašreizējā versijā (DollyWay v3) ļaunprogrammatūra ir pārorientējusies uz darbību kā krāpniecisku novirzīšanas sistēmu, novedot lietotājus uz krāpnieciskām vietnēm.
Nesenie pētījumi atklāja, ka DollyWay ir daļa no plašākas, ilgstošas darbības, kas pazīstama kā "DollyWay World Domination". Darbība ietver vairākas kampaņas, kurām ir līdzīgs kods, infrastruktūra un monetizācijas taktika. Ļaunprātīga programmatūra ir nosaukta pēc tās kodā atrodamās virknes:
Kā DollyWay v3 apdraud tūkstošiem WordPress vietņu
DollyWay v3 ir vērsta uz neaizsargātām WordPress vietnēm, izmantojot spraudņu un motīvu n-dienu trūkumus. Kad vietne ir apdraudēta, ļaunprātīga programmatūra novirza apmeklētājus uz ļaunprātīgām vietnēm, kas piedāvā viltus iepazīšanās, azartspēles, kriptovalūtas izkrāpšanu un totalizatorus.
Sākot ar 2025. gada februāri, DollyWay ir atbildīgs par vairāk nekā 10 miljonu krāpniecisku seansu ģenerēšanu mēnesī, novirzot datplūsmu uz krāpnieciskām lapām, kas tiek pelnītas, izmantojot VexTrio un LosPollos saistītos tīklus. Šis novirzīšanas process tiek pārvaldīts, izmantojot satiksmes virzienu sistēmu (TDS), kas filtrē lietotājus, pamatojoties uz konkrētām īpašībām.
Trīspakāpju infekcijas process
- Injekcijas un novirzīšanas iestatīšana : ļaunprātīga programmatūra ievada vietnē skriptu, izmantojot wp_enqueue_script, ielādējot otru nedrošu skriptu no apdraudētās vietnes.
- Trafika filtrēšana : otrais skripts analizē apmeklētāju novirzītāja datus, kategorizējot novirzīšanas mērķus. Lietotāji netiek novirzīti, ja viņi:
- Nav novirzītāja (kas tieši apmeklēja vietni).
- Tiek atklāti kā robotprogrammatūras.
- Ir pieteikušies WordPress lietotāji, tostarp administratori.
- Pēdējā novirzīšana uz krāpnieciskām lapām : trīs nejauši inficētas vietnes darbojas kā TDS mezgli, ielādējot slēpto JavaScript, kas novirza apmeklētāju uz VexTrio vai LosPollos krāpnieciskām lapām. Šī novirzīšana notiek tikai tad, kad apmeklētājs noklikšķina uz lapas elementa, padarot to grūtāk atklāt.
DollyWay noturības un slepenās metodes
DollyWay ir izstrādājis virkni metožu, lai nodrošinātu tā noturību inficētajās vietnēs. Tiklīdz tā apdraud WordPress vietni, ļaunprogrammatūra nodrošina, ka tā atkārtoti inficējas ar katru lapas ielādi, apgrūtinot noņemšanu. Šeit ir tā galvenā taktika:
- PHP koda izplatīšana aktīvajos spraudņos.
- Ļaunprātīga koda ievadīšana spraudnī WPCode (trešās puses rīks, ko izmanto, lai modificētu WordPress, nemainot galvenos failus).
- Paslēpjot WPCode no spraudņu saraksta, tas administratoriem kļūst neredzams un to ir grūtāk noņemt.
Turklāt ļaunprogrammatūra izveido slēptus administratora kontus ar nejaušām 32 rakstzīmju hex virknēm, kuras ir redzamas tikai ar tiešu datu bāzes pārbaudi, nodrošinot, ka uzbrucēji saglabā kontroli pār vietni.
Secinājums: pastāvīgs un mainīgs drauds
DollyWay ir nepārtraukta un elastīga ļaunprātīgas programmatūras kampaņa, kas turpina attīstīties ar arvien sarežģītāku taktiku. Tās spēja:
- Automātiski atkārtoti inficējiet vietnes
- Izvairieties no atklāšanas, izmantojot slēptos skriptus un administratora kontus
- Gūstiet peļņu no novirzīšanas trafika, izmantojot ar krāpšanu saistītus tīklus
…padara to par nopietnu apdraudējumu WordPress vietņu īpašniekiem visā pasaulē. Vietņu administratoriem ir jāsaglabā modrība un regulāri jāatjaunina motīvi, spraudņi un drošības protokoli, lai mazinātu inficēšanās risku.
