DollyWay Malware Campaign

ਡੌਲੀਵੇਅ, ਜੋ ਕਿ 2016 ਤੋਂ ਸਰਗਰਮ ਇੱਕ ਮਾਲਵੇਅਰ ਓਪਰੇਸ਼ਨ ਹੈ, ਨੇ ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ 20,000 ਤੋਂ ਵੱਧ ਵਰਡਪ੍ਰੈਸ ਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ। ਇਹ ਚੱਲ ਰਹੀ ਮੁਹਿੰਮ ਸਾਲਾਂ ਦੌਰਾਨ ਵਧੇਰੇ ਸੂਝਵਾਨ ਬਣ ਗਈ ਹੈ, ਆਪਣੀਆਂ ਚੋਰੀਆਂ, ਮੁੜ-ਸੰਕਰਮਣ ਅਤੇ ਮੁਦਰੀਕਰਨ ਰਣਨੀਤੀਆਂ ਨੂੰ ਸੁਧਾਰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਸਾਈਟ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣ ਗਈ ਹੈ।

ਡੌਲੀਵੇਅ ਦਾ ਇੱਕ ਰਣਨੀਤਕ ਰੀਡਾਇਰੈਕਸ਼ਨ ਸਿਸਟਮ ਵਿੱਚ ਵਿਕਾਸ

ਸ਼ੁਰੂ ਵਿੱਚ, ਡੌਲੀਵੇਅ ਨੇ ਰੈਨਸਮਵੇਅਰ ਅਤੇ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨ ਵੰਡੇ, ਜੋ ਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਲਈ ਸਿੱਧਾ ਖ਼ਤਰਾ ਸਨ। ਹਾਲਾਂਕਿ, ਇਸਦੇ ਮੌਜੂਦਾ ਸੰਸਕਰਣ (ਡੌਲੀਵੇਅ v3) ਵਿੱਚ, ਮਾਲਵੇਅਰ ਨੇ ਇੱਕ ਘੁਟਾਲੇ ਦੇ ਰੀਡਾਇਰੈਕਸ਼ਨ ਸਿਸਟਮ ਵਜੋਂ ਕੰਮ ਕਰਨ ਵੱਲ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰ ਦਿੱਤਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਾਈਟਾਂ ਵੱਲ ਲਿਜਾਇਆ ਜਾ ਰਿਹਾ ਹੈ।

ਹਾਲੀਆ ਖੋਜ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਡੌਲੀਵੇਅ ਇੱਕ ਹੋਰ ਵਿਆਪਕ, ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲ ਰਹੇ ਓਪਰੇਸ਼ਨ ਦਾ ਹਿੱਸਾ ਹੈ ਜਿਸਨੂੰ 'ਡੌਲੀਵੇਅ ਵਰਲਡ ਡੋਮੀਨੇਸ਼ਨ' ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਓਪਰੇਸ਼ਨ ਵਿੱਚ ਕਈ ਮੁਹਿੰਮਾਂ ਸ਼ਾਮਲ ਹਨ ਜੋ ਇੱਕੋ ਜਿਹੇ ਕੋਡ, ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਮੁਦਰੀਕਰਨ ਰਣਨੀਤੀਆਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦੀਆਂ ਹਨ। ਮਾਲਵੇਅਰ ਦਾ ਨਾਮ ਇਸਦੇ ਕੋਡ ਵਿੱਚ ਮਿਲੀ ਸਤਰ ਦੇ ਨਾਮ 'ਤੇ ਰੱਖਿਆ ਗਿਆ ਹੈ:

ਡੌਲੀਵੇਅ v3 ਹਜ਼ਾਰਾਂ ਵਰਡਪ੍ਰੈਸ ਸਾਈਟਾਂ ਨਾਲ ਕਿਵੇਂ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ

ਡੌਲੀਵੇਅ v3 ਪਲੱਗਇਨਾਂ ਅਤੇ ਥੀਮਾਂ ਵਿੱਚ n-day ਖਾਮੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਕਮਜ਼ੋਰ ਵਰਡਪ੍ਰੈਸ ਸਾਈਟਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਕੋਈ ਸਾਈਟ ਸਮਝੌਤਾ ਕਰ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਨਕਲੀ ਡੇਟਿੰਗ, ਜੂਆ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਘੁਟਾਲੇ ਅਤੇ ਸਵੀਪਸਟੈਕ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਖਤਰਨਾਕ ਸਾਈਟਾਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ।

ਫਰਵਰੀ 2025 ਤੱਕ, ਡੌਲੀਵੇਅ ਪ੍ਰਤੀ ਮਹੀਨਾ 10 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਧੋਖਾਧੜੀ ਵਾਲੇ ਪ੍ਰਭਾਵ ਪੈਦਾ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਜੋ ਟ੍ਰੈਫਿਕ ਨੂੰ ਘੁਟਾਲੇ ਵਾਲੇ ਪੰਨਿਆਂ ਵੱਲ ਭੇਜਦਾ ਹੈ ਜੋ VexTrio ਅਤੇ LosPollos ਐਫੀਲੀਏਟ ਨੈੱਟਵਰਕਾਂ ਰਾਹੀਂ ਮੁਦਰੀਕਰਨ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਹ ਰੀਡਾਇਰੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਇੱਕ ਟ੍ਰੈਫਿਕ ਦਿਸ਼ਾ ਪ੍ਰਣਾਲੀ (TDS) ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਾਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਅਧਾਰ ਤੇ ਫਿਲਟਰ ਕਰਦੀ ਹੈ।

ਤਿੰਨ-ਪੜਾਅ ਵਾਲੀ ਲਾਗ ਪ੍ਰਕਿਰਿਆ

• ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਰੀਡਾਇਰੈਕਸ਼ਨ ਸੈੱਟਅੱਪ : ਮਾਲਵੇਅਰ wp_enqueue_script ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਾਈਟ ਵਿੱਚ ਇੱਕ ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੀ ਸਾਈਟ ਤੋਂ ਦੂਜੀ ਅਸੁਰੱਖਿਅਤ ਸਕ੍ਰਿਪਟ ਲੋਡ ਹੁੰਦੀ ਹੈ।
• ਟ੍ਰੈਫਿਕ ਫਿਲਟਰਿੰਗ : ਦੂਜੀ ਸਕ੍ਰਿਪਟ ਵਿਜ਼ਟਰ ਰੈਫਰਰ ਡੇਟਾ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦੀ ਹੈ, ਰੀਡਾਇਰੈਕਸ਼ਨ ਟਾਰਗੇਟਾਂ ਨੂੰ ਸ਼੍ਰੇਣੀਬੱਧ ਕਰਦੀ ਹੈ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਜੇਕਰ ਉਹ:
• ਕੋਈ ਰੈਫਰਰ ਨਹੀਂ ਹੈ (ਜਿਸਨੇ ਸਿੱਧਾ ਵੈੱਬਸਾਈਟ 'ਤੇ ਵਿਜ਼ਿਟ ਕੀਤਾ ਹੈ)।
• ਬੋਟਾਂ ਵਜੋਂ ਖੋਜੇ ਜਾਂਦੇ ਹਨ।
• ਕੀ ਤੁਸੀਂ ਵਰਡਪ੍ਰੈਸ ਯੂਜ਼ਰਸ ਵਿੱਚ ਲਾਗਇਨ ਕੀਤਾ ਹੋਇਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਐਡਮਿਨ ਵੀ ਸ਼ਾਮਲ ਹਨ।
• ਧੋਖਾਧੜੀ ਵਾਲੇ ਪੰਨਿਆਂ 'ਤੇ ਅੰਤਿਮ ਰੀਡਾਇਰੈਕਸ਼ਨ : ਤਿੰਨ ਬੇਤਰਤੀਬ ਤੌਰ 'ਤੇ ਸੰਕਰਮਿਤ ਸਾਈਟਾਂ TDS ਨੋਡਾਂ ਵਜੋਂ ਕੰਮ ਕਰਦੀਆਂ ਹਨ, ਲੁਕੀਆਂ ਹੋਈਆਂ JavaScript ਲੋਡ ਕਰਦੀਆਂ ਹਨ ਜੋ ਵਿਜ਼ਟਰ ਨੂੰ VexTrio ਜਾਂ LosPollos ਘੁਟਾਲੇ ਵਾਲੇ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦੀਆਂ ਹਨ। ਇਹ ਰੀਡਾਇਰੈਕਸ਼ਨ ਸਿਰਫ਼ ਉਦੋਂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਵਿਜ਼ਟਰ ਕਿਸੇ ਪੰਨੇ ਦੇ ਤੱਤ 'ਤੇ ਕਲਿੱਕ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਦਾ ਪਤਾ ਲਗਾਉਣਾ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ।

ਡੌਲੀਵੇਅ ਦੀਆਂ ਦ੍ਰਿੜਤਾ ਅਤੇ ਸਟੀਲਥ ਤਕਨੀਕਾਂ

ਡੌਲੀਵੇਅ ਨੇ ਸੰਕਰਮਿਤ ਸਾਈਟਾਂ 'ਤੇ ਇਸਦੀ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਤਕਨੀਕਾਂ ਵਿਕਸਤ ਕੀਤੀਆਂ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇਹ ਕਿਸੇ ਵਰਡਪ੍ਰੈਸ ਸਾਈਟ ਨਾਲ ਸਮਝੌਤਾ ਕਰ ਲੈਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਹਰ ਪੰਨੇ ਦੇ ਲੋਡ ਨਾਲ ਦੁਬਾਰਾ ਸੰਕਰਮਿਤ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਟਾਉਣਾ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ। ਇੱਥੇ ਇਸਦੀਆਂ ਮੁੱਖ ਰਣਨੀਤੀਆਂ ਹਨ:

• ਸਰਗਰਮ ਪਲੱਗਇਨਾਂ ਵਿੱਚ PHP ਕੋਡ ਫੈਲਾਉਣਾ।
• WPCode ਪਲੱਗਇਨ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਪਾਉਣਾ (ਇੱਕ ਤੀਜੀ-ਧਿਰ ਟੂਲ ਜੋ ਕੋਰ ਫਾਈਲਾਂ ਨੂੰ ਬਦਲੇ ਬਿਨਾਂ ਵਰਡਪ੍ਰੈਸ ਨੂੰ ਸੋਧਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ)।
• ਪਲੱਗਇਨ ਸੂਚੀ ਵਿੱਚੋਂ WPCode ਨੂੰ ਲੁਕਾਉਣ ਨਾਲ ਇਹ ਪ੍ਰਸ਼ਾਸਕਾਂ ਲਈ ਅਦਿੱਖ ਹੋ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਹਟਾਉਣਾ ਵਧੇਰੇ ਚੁਣੌਤੀਪੂਰਨ ਹੋ ਜਾਂਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਬੇਤਰਤੀਬ 32-ਅੱਖਰਾਂ ਦੇ ਹੈਕਸ ਸਟ੍ਰਿੰਗਾਂ ਨਾਲ ਲੁਕਵੇਂ ਐਡਮਿਨ ਖਾਤੇ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਸਿਰਫ ਸਿੱਧੇ ਡੇਟਾਬੇਸ ਨਿਰੀਖਣ ਦੁਆਰਾ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ ਕਿ ਹਮਲਾਵਰ ਸਾਈਟ 'ਤੇ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣ।

ਸਿੱਟਾ: ਇੱਕ ਸਥਾਈ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਖ਼ਤਰਾ

ਡੌਲੀਵੇਅ ਇੱਕ ਚੱਲ ਰਹੀ ਅਤੇ ਲਚਕੀਲੀ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਹੈ ਜੋ ਵਧਦੀ ਸੂਝਵਾਨ ਰਣਨੀਤੀਆਂ ਨਾਲ ਵਿਕਸਤ ਹੁੰਦੀ ਰਹਿੰਦੀ ਹੈ। ਇਸਦੀ ਯੋਗਤਾ:

• ਸਾਈਟਾਂ ਨੂੰ ਆਪਣੇ ਆਪ ਮੁੜ-ਸੰਰਚਿਤ ਕਰੋ
• ਲੁਕੀਆਂ ਹੋਈਆਂ ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਐਡਮਿਨ ਖਾਤਿਆਂ ਰਾਹੀਂ ਖੋਜ ਤੋਂ ਬਚੋ
• ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਨੈੱਟਵਰਕਾਂ ਰਾਹੀਂ ਰੀਡਾਇਰੈਕਸ਼ਨ ਟ੍ਰੈਫਿਕ ਦਾ ਮੁਦਰੀਕਰਨ ਕਰੋ

…ਇਸਨੂੰ ਦੁਨੀਆ ਭਰ ਦੇ ਵਰਡਪ੍ਰੈਸ ਸਾਈਟ ਮਾਲਕਾਂ ਲਈ ਇੱਕ ਗੰਭੀਰ ਖ਼ਤਰਾ ਬਣਾਉਂਦਾ ਹੈ। ਵੈੱਬਸਾਈਟ ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ਸੁਚੇਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਲਾਗ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਥੀਮ, ਪਲੱਗਇਨ ਅਤੇ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਅਪਡੇਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।