Kempen Malware DollyWay
DollyWay, operasi perisian hasad yang aktif sejak 2016, telah menjejaskan lebih 20,000 tapak WordPress di seluruh dunia. Kempen yang berterusan ini telah berkembang dengan lebih canggih selama bertahun-tahun, memperhalusi strategi pengelakan, jangkitan semula dan pengewangannya, menjadikannya ancaman besar kepada keselamatan tapak.
Isi kandungan
Evolusi DollyWay menjadi Sistem Pengalihan Taktik
Pada mulanya, DollyWay mengedarkan perisian tebusan dan trojan perbankan, menimbulkan ancaman langsung kepada pelawat tapak. Walau bagaimanapun, dalam versi semasanya (DollyWay v3), perisian hasad telah mengalihkan tumpuan kepada beroperasi sebagai sistem pengalihan semula penipuan, membawa pengguna ke tapak penipuan.
Penyelidikan baru-baru ini telah mendedahkan bahawa DollyWay adalah sebahagian daripada operasi yang lebih meluas dan berjalan lama yang dikenali sebagai 'DollyWay World Domination.' Operasi ini termasuk berbilang kempen yang berkongsi kod, infrastruktur dan taktik pengewangan yang serupa. Malware ini dinamakan sempena rentetan yang terdapat dalam kodnya:
Bagaimana DollyWay v3 Mengkompromi Beribu-ribu Tapak WordPress
DollyWay v3 menyasarkan tapak WordPress yang terdedah dengan mengeksploitasi kelemahan n-hari dalam pemalam dan tema. Sebaik sahaja tapak dikompromi, perisian hasad mengubah hala pelawat ke tapak berniat jahat yang menawarkan janji temu palsu, perjudian, penipuan mata wang kripto dan cabutan bertuah.
Mulai Februari 2025, DollyWay bertanggungjawab menjana lebih 10 juta tera penipuan setiap bulan, mengarahkan trafik ke halaman penipuan yang diwangkan melalui rangkaian gabungan VexTrio dan LosPollos. Proses pengalihan ini diuruskan melalui Sistem Arah Trafik (TDS) yang menapis pengguna berdasarkan ciri khusus.
Proses Jangkitan Tiga Peringkat
- Persediaan Suntikan dan Ubah Arah : Malware menyuntik skrip ke dalam tapak menggunakan wp_enqueue_script, memuatkan skrip kedua yang tidak selamat daripada tapak yang terjejas.
- Penapisan Trafik : Skrip kedua menganalisis data perujuk pelawat, mengkategorikan sasaran ubah hala. Pengguna tidak diubah hala jika mereka:
- Tiada perujuk (yang melawati laman web secara langsung).
- Dikesan sebagai bot.
- Adakah pengguna WordPress yang log masuk, termasuk pentadbir.
- Pengalihan Terakhir ke Halaman Penipuan : Tiga tapak yang dijangkiti secara rawak bertindak sebagai nod TDS, memuatkan JavaScript tersembunyi yang mengubah hala pelawat ke halaman penipuan VexTrio atau LosPollos. Ubah hala ini hanya berlaku apabila pelawat mengklik pada elemen halaman, menjadikannya lebih sukar untuk dikesan.
Teknik Kegigihan dan Stealth DollyWay
DollyWay telah membangunkan pelbagai teknik untuk memastikan kegigihannya di tapak yang dijangkiti. Sebaik sahaja ia menjejaskan tapak WordPress, perisian hasad memastikan ia menjangkiti semula dengan setiap pemuatan halaman, menyukarkan penyingkiran. Berikut adalah taktik utamanya:
- Menyebarkan kod PHP merentasi pemalam aktif.
- Menyuntik kod berniat jahat ke dalam pemalam WPCode (alat pihak ketiga yang digunakan untuk mengubah suai WordPress tanpa mengubah fail teras).
- Menyembunyikan WPCode daripada senarai pemalam menjadikannya tidak kelihatan kepada pentadbir dan lebih mencabar untuk dialih keluar.
Selain itu, perisian hasad mencipta akaun pentadbir tersembunyi dengan rentetan hex 32 aksara rawak, yang hanya boleh dilihat melalui pemeriksaan pangkalan data terus, memastikan penyerang mengekalkan kawalan ke atas tapak.
Kesimpulan: Ancaman yang Berterusan dan Berkembang
DollyWay ialah kempen perisian hasad yang berterusan dan berdaya tahan yang terus berkembang dengan taktik yang semakin canggih. Keupayaannya untuk:
- Jangkitan semula tapak secara automatik
- Elakkan pengesanan melalui skrip tersembunyi dan akaun pentadbir
- Wangkan trafik ubah hala melalui rangkaian berkaitan penipuan
…menjadikannya ancaman serius bagi pemilik tapak WordPress di seluruh dunia. Pentadbir tapak web mesti sentiasa berwaspada dan mengemas kini tema, pemalam dan protokol keselamatan dengan kerap untuk mengurangkan risiko jangkitan.
