Kampania malware DollyWay
DollyWay, operacja malware aktywna od 2016 r., naruszyła ponad 20 000 witryn WordPress na całym świecie. Ta trwająca kampania stała się bardziej wyrafinowana na przestrzeni lat, udoskonalając swoje strategie unikania, ponownego zarażania i monetyzacji, co czyni ją poważnym zagrożeniem dla bezpieczeństwa witryny.
Spis treści
Ewolucja DollyWay w system przekierowywania taktyki
Początkowo DollyWay dystrybuował ransomware i trojany bankowe, stanowiąc bezpośrednie zagrożenie dla odwiedzających witrynę. Jednak w swojej obecnej wersji (DollyWay v3) malware przesunął się w kierunku działania jako system przekierowań oszustw, kierując użytkowników do fałszywych witryn.
Najnowsze badania wykazały, że DollyWay jest częścią bardziej rozległej, długotrwałej operacji znanej jako „DollyWay World Domination”. Operacja obejmuje wiele kampanii, które mają podobny kod, infrastrukturę i taktyki monetyzacji. Nazwa złośliwego oprogramowania pochodzi od ciągu znalezionego w jego kodzie:
Jak DollyWay v3 zagraża tysiącom witryn WordPress
DollyWay v3 atakuje podatne witryny WordPress, wykorzystując luki n-day w wtyczkach i motywach. Gdy witryna zostanie naruszona, złośliwe oprogramowanie przekierowuje odwiedzających do złośliwych witryn oferujących fałszywe randki, hazard, oszustwa kryptowalutowe i loterie.
Od lutego 2025 r. DollyWay odpowiada za generowanie ponad 10 milionów fałszywych wyświetleń miesięcznie, kierując ruch na strony oszustw, które są monetyzowane za pośrednictwem sieci partnerskich VexTrio i LosPollos. Ten proces przekierowania jest zarządzany za pomocą Traffic Direction System (TDS), który filtruje użytkowników na podstawie określonych cech.
Trzyetapowy proces infekcji
- Konfiguracja wstrzykiwania i przekierowania : złośliwe oprogramowanie wstrzykuje skrypt do witryny za pomocą wp_enqueue_script, ładując drugi niebezpieczny skrypt z zainfekowanej witryny.
- Filtrowanie ruchu : Drugi skrypt analizuje dane odsyłające odwiedzających, kategoryzując cele przekierowania. Użytkownicy nie są przekierowywani, jeśli:
- Nie ma osoby polecającej (która bezpośrednio odwiedziła witrynę).
- Zostają wykryci jako boty.
- Są zalogowanymi użytkownikami WordPressa, łącznie z administratorami.
- Ostateczne przekierowanie na strony oszustów : Trzy losowo zainfekowane witryny działają jako węzły TDS, ładując ukryty JavaScript, który przekierowuje odwiedzającego na strony oszustw VexTrio lub LosPollos. To przekierowanie następuje tylko wtedy, gdy odwiedzający kliknie element strony, co utrudnia jego wykrycie.
Techniki wytrwałości i skradania się DollyWay
DollyWay opracował szereg technik, aby zapewnić jego trwałość na zainfekowanych stronach. Po zainfekowaniu witryny WordPress malware zapewnia, że zainfekuje ją ponownie przy każdym ładowaniu strony, co utrudnia usunięcie. Oto jego kluczowe taktyki:
- Rozprzestrzenianie kodu PHP pomiędzy aktywne wtyczki.
- Wstrzykiwanie złośliwego kodu do wtyczki WPCode (narzędzia innej firmy służącego do modyfikowania WordPressa bez zmiany plików głównych).
- Ukrycie WPCode na liście wtyczek sprawia, że są one niewidoczne dla administratorów i trudniej je usunąć.
Ponadto złośliwe oprogramowanie tworzy ukryte konta administratorów przy użyciu losowych 32-znakowych ciągów szesnastkowych, które stają się widoczne tylko podczas bezpośredniej inspekcji bazy danych. Dzięki temu atakujący mogą zachować kontrolę nad witryną.
Wnioski: Trwałe i ewoluujące zagrożenie
DollyWay to trwająca i odporna kampania malware, która ewoluuje wraz z coraz bardziej wyrafinowanymi taktykami. Jej zdolność do:
- Automatyczne ponowne infekowanie witryn
- Unikaj wykrycia za pomocą ukrytych skryptów i kont administratora
- Monetyzacja ruchu przekierowującego za pośrednictwem sieci związanych z oszustwami
…stanowi poważne zagrożenie dla właścicieli witryn WordPress na całym świecie. Administratorzy witryn muszą zachować czujność i regularnie aktualizować motywy, wtyczki i protokoły bezpieczeństwa, aby zmniejszyć ryzyko infekcji.
