Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Campanie DollyWay Malware

Campanie DollyWay Malware

Până în Mezo în Programe malware
Tradu in:
Română

DollyWay, o operațiune de malware activă din 2016, a compromis peste 20.000 de site-uri WordPress la nivel global. Această campanie în curs de desfășurare a devenit mai sofisticată de-a lungul anilor, perfinându-și strategiile de evaziune, reinfectare și monetizare, făcând-o o amenințare semnificativă la adresa securității site-ului.

Evoluția DollyWay într-un sistem de redirecționare tactică

Inițial, DollyWay a distribuit ransomware și troieni bancare, reprezentând o amenințare directă pentru vizitatorii site-ului. Cu toate acestea, în versiunea sa actuală (DollyWay v3), malware-ul și-a mutat atenția asupra funcționării ca sistem de redirecționare înșelătorie, conducând utilizatorii către site-uri frauduloase.

Cercetări recente au arătat că DollyWay face parte dintr-o operațiune mai extinsă, de lungă durată, cunoscută sub numele de „DollyWay World Domination”. Operațiunea include mai multe campanii care au în comun cod, infrastructură și tactici de monetizare similare. Malware-ul este numit după șirul găsit în codul său:

Cum DollyWay v3 compromite mii de site-uri WordPress

DollyWay v3 vizează site-urile WordPress vulnerabile prin exploatarea defectelor de n zile în pluginuri și teme. Odată ce un site este compromis, malware-ul redirecționează vizitatorii către site-uri rău intenționate care oferă întâlniri false, jocuri de noroc, escrocherii cu criptomonede și tombole.

Începând cu februarie 2025, DollyWay este responsabilă pentru generarea a peste 10 milioane de afișări frauduloase pe lună, direcționând traficul către paginile de înșelătorie care sunt monetizate prin rețelele afiliate VexTrio și LosPollos. Acest proces de redirecționare este gestionat printr-un sistem de direcție a traficului (TDS) care filtrează utilizatorii în funcție de caracteristici specifice.

Procesul de infecție în trei etape

  • Configurare injectare și redirecționare : malware-ul injectează un script în site folosind wp_enqueue_script, încărcând un al doilea script nesigur de pe site-ul compromis.
  • Filtrarea traficului : Al doilea script analizează datele de referință ale vizitatorilor, clasificând țintele de redirecționare. Utilizatorii nu sunt redirecționați dacă:
  • Nu există niciun referrer (care a vizitat direct site-ul).
  • Sunt detectați ca roboți.
  • Sunt utilizatori WordPress autentificați, inclusiv administratorii.
  • Redirecționare finală către pagini frauduloase : Trei site-uri infectate aleatoriu acționează ca noduri TDS, încărcând JavaScript ascuns care redirecționează vizitatorul către paginile de înșelătorie VexTrio sau LosPollos. Această redirecționare are loc numai atunci când vizitatorul face clic pe un element de pagină, ceea ce face mai greu de detectat.

Tehnicile de persistență și stealth ale lui DollyWay

DollyWay a dezvoltat o serie de tehnici pentru a-și asigura persistența pe site-urile infectate. Odată ce compromite un site WordPress, malware-ul se asigură că se reinfectează cu fiecare încărcare a paginii, ceea ce face ca eliminarea să fie dificilă. Iată tacticile sale cheie:

  • Răspândirea codului PHP în pluginurile active.
  • Injectarea de cod rău intenționat în pluginul WPCode (un instrument terță parte folosit pentru a modifica WordPress fără a modifica fișierele de bază).
  • Ascunderea WPCode din lista de pluginuri îl face invizibil pentru administratori și mai dificil de eliminat.

În plus, malware-ul creează conturi de administrator ascunse cu șiruri hexadecimale aleatoare de 32 de caractere, care sunt vizibile numai prin inspecția directă a bazei de date, asigurând atacatorii mențin controlul asupra site-ului.

Concluzie: o amenințare persistentă și în evoluție

DollyWay este o campanie de malware continuă și rezistentă, care continuă să evolueze cu tactici din ce în ce mai sofisticate. Capacitatea sa de a:

  • Reinfectează site-urile automat
  • Evitați detectarea prin scripturi ascunse și conturi de administrator
  • Monetizați traficul de redirecționare prin rețele legate de fraudă

… îl face o amenințare serioasă pentru proprietarii de site-uri WordPress din întreaga lume. Administratorii site-urilor trebuie să rămână vigilenți și să actualizeze temele, pluginurile și protocoalele de securitate în mod regulat pentru a atenua riscurile de infecție.

Trending

Cele mai văzute

Se încarcă...