Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware DollyWay Malware Campagne

DollyWay Malware Campagne

Tegen Mezo in Malware
Vertalen naar:
Nederlands

DollyWay, een malware-operatie die sinds 2016 actief is, heeft wereldwijd meer dan 20.000 WordPress-sites gecompromitteerd. Deze voortdurende campagne is in de loop der jaren steeds geavanceerder geworden, met verfijnde strategieën voor ontwijking, herinfectie en monetisering, waardoor het een aanzienlijke bedreiging vormt voor de beveiliging van de site.

De evolutie van DollyWay naar een tactisch omleidingssysteem

Aanvankelijk verspreidde DollyWay ransomware en banking trojans, die een directe bedreiging vormden voor sitebezoekers. In de huidige versie (DollyWay v3) is de malware echter gericht op het functioneren als een scam-omleidingssysteem, dat gebruikers naar frauduleuze sites leidt.

Recent onderzoek heeft onthuld dat DollyWay deel uitmaakt van een uitgebreidere, langlopende operatie die bekend staat als 'DollyWay World Domination.' De operatie omvat meerdere campagnes die vergelijkbare code, infrastructuur en monetisatietactieken delen. De malware is vernoemd naar de string die in de code is gevonden:

Hoe DollyWay v3 duizenden WordPress-sites in gevaar brengt

DollyWay v3 richt zich op kwetsbare WordPress-sites door n-day-fouten in plugins en thema's te exploiteren. Zodra een site is gecompromitteerd, stuurt de malware bezoekers door naar kwaadaardige sites die nepdaten, gokken, cryptocurrency-scams en sweepstakes aanbieden.

Vanaf februari 2025 is DollyWay verantwoordelijk voor het genereren van meer dan 10 miljoen frauduleuze impressies per maand, waarbij verkeer wordt omgeleid naar scampagina's die worden gemonetariseerd via VexTrio en LosPollos affiliate netwerken. Dit omleidingsproces wordt beheerd via een Traffic Direction System (TDS) dat gebruikers filtert op basis van specifieke kenmerken.

Het drie-fase infectieproces

  • Injectie- en omleidingsinstallatie : de malware injecteert een script in de site met behulp van wp_enqueue_script en laadt een tweede onveilig script van de gecompromitteerde site.
  • Traffic Filtering : Het tweede script analyseert bezoekersverwijzingsgegevens en categoriseert de omleidingsdoelen. Gebruikers worden niet omgeleid als ze:
  • Er is geen referrer (iemand die de website rechtstreeks heeft bezocht).
  • Worden gedetecteerd als bots.
  • Zijn ingelogde WordPress-gebruikers, inclusief beheerders.
  • Definitieve omleiding naar frauduleuze pagina's : drie willekeurig geïnfecteerde sites fungeren als TDS-knooppunten en laden verborgen JavaScript dat de bezoeker omleidt naar VexTrio- of LosPollos-oplichterijpagina's. Deze omleiding gebeurt alleen wanneer de bezoeker op een pagina-element klikt, waardoor het moeilijker te detecteren is.

DollyWay’s volhardings- en stealth-technieken

DollyWay heeft een reeks technieken ontwikkeld om de persistentie ervan op geïnfecteerde sites te garanderen. Zodra het een WordPress-site in gevaar brengt, zorgt de malware ervoor dat het opnieuw infecteert met elke pagina die wordt geladen, waardoor verwijdering moeilijk wordt. Dit zijn de belangrijkste tactieken:

  • PHP-code verspreiden over actieve plug-ins.
  • Het injecteren van schadelijke code in de WPCode-plug-in (een tool van derden die wordt gebruikt om WordPress aan te passen zonder de kernbestanden te wijzigen).
  • Als u WPCode verbergt in de plug-inlijst, wordt deze onzichtbaar voor beheerders en moeilijker te verwijderen.

Bovendien creëert de malware verborgen beheerdersaccounts met willekeurige hexadecimale tekenreeksen van 32 tekens, die alleen zichtbaar zijn via directe inspectie van de database. Zo behouden aanvallers de controle over de site.

Conclusie: een aanhoudende en evoluerende bedreiging

DollyWay is een voortdurende en veerkrachtige malwarecampagne die zich blijft ontwikkelen met steeds geavanceerdere tactieken. Het vermogen om:

  • Sites automatisch opnieuw infecteren
  • Ontwijk detectie via verborgen scripts en beheerdersaccounts
  • Monetiseer omleidingsverkeer via fraudegerelateerde netwerken

…maakt het een serieuze bedreiging voor WordPress-site-eigenaren wereldwijd. Websitebeheerders moeten waakzaam blijven en thema's, plug-ins en beveiligingsprotocollen regelmatig updaten om de risico's op infectie te beperken.

Trending

Meest bekeken

Bezig met laden...