DollyWay Malware Campaign

२०१६ देखि सक्रिय मालवेयर अपरेशन, डलीवेले विश्वव्यापी रूपमा २०,००० भन्दा बढी वर्डप्रेस साइटहरू ह्याक गरिसकेको छ। यो चलिरहेको अभियान वर्षौंको दौडान अझ परिष्कृत हुँदै गएको छ, यसको चोरी, पुन: संक्रमण, र मुद्रीकरण रणनीतिहरूलाई परिष्कृत गर्दै, यसलाई साइट सुरक्षाको लागि एक महत्वपूर्ण खतरा बनाएको छ।

डलीवेको रणनीतिक पुनर्निर्देशन प्रणालीमा विकास

सुरुमा, DollyWay ले ransomware र बैंकिङ ट्रोजनहरू वितरण गर्‍यो, जसले साइट आगन्तुकहरूलाई प्रत्यक्ष खतरा बनायो। यद्यपि, यसको हालको संस्करण (DollyWay v3) मा, मालवेयरले स्क्याम रिडिरेक्शन प्रणालीको रूपमा सञ्चालनमा ध्यान केन्द्रित गरेको छ, जसले प्रयोगकर्ताहरूलाई धोखाधडी साइटहरूतर्फ डोऱ्याइरहेको छ।

हालैको अनुसन्धानले पत्ता लगाएको छ कि डलीवे 'डलीवे वर्ल्ड डोमिनेशन' भनेर चिनिने अझ व्यापक, लामो समयदेखि चलिरहेको अपरेशनको हिस्सा हो। यस अपरेशनमा धेरै अभियानहरू समावेश छन् जसले समान कोड, पूर्वाधार र मुद्रीकरण रणनीतिहरू साझा गर्दछ। मालवेयरको नाम यसको कोडमा पाइने स्ट्रिङबाट राखिएको छ:

कसरी DollyWay v3 ले हजारौं WordPress साइटहरूलाई सम्झौता गर्छ

DollyWay v3 ले प्लगइन र थिमहरूमा n-day कमजोरीहरूको शोषण गरेर कमजोर WordPress साइटहरूलाई लक्षित गर्दछ। एक पटक साइट सम्झौता भएपछि, मालवेयरले आगन्तुकहरूलाई नक्कली डेटिङ, जुवा, क्रिप्टोकरेन्सी घोटाला र स्वीपस्टेक्स प्रदान गर्ने दुर्भावनापूर्ण साइटहरूमा रिडिरेक्ट गर्दछ।

फेब्रुअरी २०२५ सम्म, DollyWay प्रति महिना १ करोड भन्दा बढी धोखाधडीपूर्ण छापहरू उत्पन्न गर्ने जिम्मेवारी छ, जसले VexTrio र LosPollos सम्बद्ध नेटवर्कहरू मार्फत मुद्रीकरण गरिएका घोटाला पृष्ठहरूमा ट्राफिक निर्देशित गर्दछ। यो पुनर्निर्देशन प्रक्रिया ट्राफिक निर्देशन प्रणाली (TDS) मार्फत व्यवस्थित गरिन्छ जसले प्रयोगकर्ताहरूलाई विशिष्ट विशेषताहरूको आधारमा फिल्टर गर्दछ।

तीन-चरण संक्रमण प्रक्रिया

• इन्जेक्सन र रिडिरेक्शन सेटअप : मालवेयरले wp_enqueue_script प्रयोग गरेर साइटमा स्क्रिप्ट इन्जेक्ट गर्छ, जसले गर्दा सम्झौता गरिएको साइटबाट दोस्रो असुरक्षित स्क्रिप्ट लोड हुन्छ।
• ट्राफिक फिल्टरिङ : दोस्रो स्क्रिप्टले आगन्तुक रेफरर डेटाको विश्लेषण गर्छ, रिडिरेक्शन लक्ष्यहरूलाई वर्गीकृत गर्छ। प्रयोगकर्ताहरूलाई रिडिरेक्शन गरिँदैन यदि तिनीहरू:
• त्यहाँ कुनै रेफरर छैन (जसले सिधै वेबसाइट भ्रमण गरेको थियो)।
• बटको रूपमा पत्ता लगाइन्छ।
• प्रशासकहरू सहित लग-इन भएका WordPress प्रयोगकर्ताहरू हुन्।
• जालसाजीपूर्ण पृष्ठहरूमा अन्तिम पुनर्निर्देशन : तीन अनियमित रूपमा संक्रमित साइटहरूले TDS नोडहरूको रूपमा काम गर्छन्, लुकेको जाभास्क्रिप्ट लोड गर्दै जसले आगन्तुकलाई VexTrio वा LosPollos घोटाला पृष्ठहरूमा पुनर्निर्देशित गर्दछ। यो पुनर्निर्देशन केवल तब हुन्छ जब आगन्तुकले पृष्ठ तत्वमा क्लिक गर्दछ, जसले गर्दा पत्ता लगाउन गाह्रो हुन्छ।

डलीवेको दृढता र चुपचाप प्रविधिहरू

DollyWay ले संक्रमित साइटहरूमा यसको निरन्तरता सुनिश्चित गर्न विभिन्न प्रविधिहरू विकास गरेको छ। एक पटक यसले WordPress साइटलाई जोखिममा पारेपछि, मालवेयरले प्रत्येक पृष्ठ लोड हुँदा यसलाई पुन: संक्रमित गर्ने कुरा सुनिश्चित गर्दछ, जसले गर्दा हटाउन गाह्रो हुन्छ। यहाँ यसका प्रमुख रणनीतिहरू छन्:

• सक्रिय प्लगइनहरूमा PHP कोड फैलाउँदै।
• WPCode प्लगइनमा मालिसियस कोड इन्जेक्ट गर्ने (कोर फाइलहरू परिवर्तन नगरी WordPress परिमार्जन गर्न प्रयोग गरिने तेस्रो-पक्ष उपकरण)।
• प्लगइन सूचीबाट WPCode लुकाउँदा यसलाई प्रशासकहरूको लागि अदृश्य र हटाउन अझ चुनौतीपूर्ण बनाउँछ।

थप रूपमा, मालवेयरले अनियमित ३२-वर्ण हेक्स स्ट्रिङहरू सहित लुकेका प्रशासक खाताहरू सिर्जना गर्दछ, जुन प्रत्यक्ष डाटाबेस निरीक्षण मार्फत मात्र देखिन्छ, जसले आक्रमणकारीहरूले साइटमा नियन्त्रण कायम राख्न सुनिश्चित गर्दछ।

निष्कर्ष: एक निरन्तर र विकसित खतरा

DollyWay एक निरन्तर र लचिलो मालवेयर अभियान हो जुन बढ्दो परिष्कृत रणनीतिहरूसँग विकसित हुँदै गइरहेको छ। यसको क्षमता:

• साइटहरूलाई स्वचालित रूपमा सुदृढ पार्नुहोस्
• लुकेका स्क्रिप्टहरू र प्रशासक खाताहरू मार्फत पत्ता लगाउनबाट बच्नुहोस्
• ठगी-सम्बन्धित नेटवर्कहरू मार्फत पुनर्निर्देशन ट्राफिक मुद्रीकरण गर्नुहोस्

... यसले विश्वभरका वर्डप्रेस साइट मालिकहरूका लागि गम्भीर खतरा बनाउँछ। वेबसाइट प्रशासकहरूले सतर्क रहनुपर्छ र संक्रमणको जोखिम कम गर्न नियमित रूपमा विषयवस्तु, प्लगइन र सुरक्षा प्रोटोकलहरू अपडेट गर्नुपर्छ।