DollyWay Malware-kampanje

DollyWay, en malware-operasjon som har vært aktiv siden 2016, har kompromittert over 20 000 WordPress-nettsteder globalt. Denne pågående kampanjen har blitt mer sofistikert i løpet av årene, og har foredlet strategiene for unndragelse, re-infeksjon og inntektsgenerering, noe som gjør den til en betydelig trussel mot nettstedets sikkerhet.

DollyWays utvikling til et taktisk omdirigeringssystem

Opprinnelig distribuerte DollyWay løsepengevare og banktrojanere, og utgjorde en direkte trussel mot besøkende på nettstedet. Men i sin nåværende versjon (DollyWay v3) har skadelig programvare skiftet fokus til å fungere som et svindelomdirigeringssystem, noe som fører brukere til uredelige nettsteder.

Nyere forskning har avslørt at DollyWay er en del av en mer omfattende, langvarig operasjon kjent som "DollyWay World Domination." Operasjonen inkluderer flere kampanjer som deler lignende kode, infrastruktur og taktikk for inntektsgenerering. Skadevaren er oppkalt etter strengen som finnes i koden:

Hvordan DollyWay v3 kompromitterer tusenvis av WordPress-nettsteder

DollyWay v3 retter seg mot sårbare WordPress-nettsteder ved å utnytte n-dagers feil i plugins og temaer. Når et nettsted er kompromittert, omdirigerer skadelig programvare besøkende til ondsinnede nettsteder som tilbyr falske dating, gambling, kryptovaluta-svindel og konkurranser.

Fra februar 2025 er DollyWay ansvarlig for å generere over 10 millioner falske visninger per måned, og dirigere trafikk til svindelsider som tjene penger på via VexTrio og LosPollos tilknyttede nettverk. Denne omdirigeringsprosessen administreres gjennom et Traffic Direction System (TDS) som filtrerer brukere basert på spesifikke egenskaper.

Tre-trinns infeksjonsprosess

• Injeksjons- og omdirigeringsoppsett : Skadevaren injiserer et skript på nettstedet ved å bruke wp_enqueue_script, og laster inn et annet usikkert skript fra det kompromitterte nettstedet.
• Trafikkfiltrering : Det andre skriptet analyserer besøkshenvisningsdata, og kategoriserer omdirigeringsmålene. Brukere blir ikke omdirigert hvis de:
• Det er ingen henvisning (som direkte besøkte nettstedet).
• Blir oppdaget som roboter.
• Er påloggede WordPress-brukere, inkludert administratorer.
• Endelig omdirigering til svindelsider : Tre tilfeldig infiserte nettsteder fungerer som TDS-noder, laster skjult JavaScript som omdirigerer besøkende til svindelsider fra VexTrio eller LosPollos. Denne omdirigeringen skjer bare når den besøkende klikker på et sideelement, noe som gjør det vanskeligere å oppdage.

DollyWays utholdenhet og stealth-teknikker

DollyWay har utviklet en rekke teknikker for å sikre at den holder seg på infiserte steder. Når den først kompromitterer et WordPress-nettsted, sikrer skadelig programvare at den infiseres på nytt med hver sideinnlasting, noe som gjør fjerning vanskelig. Her er nøkkeltaktikkene:

• Sprer PHP-kode på tvers av aktive plugins.
• Injiserer ondsinnet kode i WPCode-pluginen (et tredjepartsverktøy som brukes til å endre WordPress uten å endre kjernefiler).
• Å skjule WPCode fra plugin-listen gjør den usynlig for administratorer og mer utfordrende å fjerne.

I tillegg oppretter skadevaren skjulte administratorkontoer med tilfeldige 32-tegns heksadesimale strenger, som kun er synlige via direkte databaseinspeksjon, noe som sikrer at angripere opprettholder kontroll over nettstedet.

Konklusjon: En vedvarende og utviklende trussel

DollyWay er en pågående og spenstig malware-kampanje som fortsetter å utvikle seg med stadig mer sofistikerte taktikker. Dens evne til å:

• Infiser nettsteder automatisk
• Unngå gjenkjenning gjennom skjulte skript og administratorkontoer
• Tjen penger på omdirigeringstrafikk gjennom svindelrelaterte nettverk

…gjør det til en alvorlig trussel for WordPress-sideeiere over hele verden. Nettstedsadministratorer må være årvåkne og oppdatere temaer, plugins og sikkerhetsprotokoller regelmessig for å redusere risikoen for infeksjon.