Кампания вредоносного ПО DollyWay
DollyWay, вредоносная операция, действующая с 2016 года, скомпрометировала более 20 000 сайтов WordPress по всему миру. Эта продолжающаяся кампания с годами стала более изощренной, усовершенствовав свои стратегии уклонения, повторного заражения и монетизации, что сделало ее значительной угрозой для безопасности сайта.
Оглавление
Эволюция DollyWay в систему перенаправления тактики
Первоначально DollyWay распространял вирусы-вымогатели и банковские трояны, представляя прямую угрозу посетителям сайта. Однако в своей текущей версии (DollyWay v3) вредоносная программа переключила фокус на работу в качестве мошеннической системы перенаправления, направляя пользователей на мошеннические сайты.
Недавние исследования показали, что DollyWay является частью более обширной, длительной операции, известной как «DollyWay World Domination». Операция включает в себя несколько кампаний, которые разделяют схожий код, инфраструктуру и тактику монетизации. Вредоносная программа названа в честь строки, найденной в ее коде:
Как DollyWay v3 взламывает тысячи сайтов WordPress
DollyWay v3 нацелен на уязвимые сайты WordPress, эксплуатируя n-day уязвимости в плагинах и темах. После взлома сайта вредоносная программа перенаправляет посетителей на вредоносные сайты, предлагающие фейковые знакомства, азартные игры, мошенничество с криптовалютой и тотализаторы.
По состоянию на февраль 2025 года DollyWay отвечает за создание более 10 миллионов мошеннических показов в месяц, направляя трафик на мошеннические страницы, которые монетизируются через партнерские сети VexTrio и LosPollos. Этот процесс перенаправления управляется с помощью Системы направления трафика (TDS), которая фильтрует пользователей на основе определенных характеристик.
Трехэтапный процесс заражения
- Настройка внедрения и перенаправления : вредоносная программа внедряет скрипт на сайт с помощью wp_enqueue_script, загружая второй небезопасный скрипт со взломанного сайта.
- Фильтрация трафика : второй скрипт анализирует данные реферера посетителя, классифицируя цели перенаправления. Пользователи не перенаправляются, если они:
- Реферер (непосредственно посетивший сайт) отсутствует.
- Распознаются как боты.
- Авторизованные пользователи WordPress, включая администраторов.
- Окончательное перенаправление на мошеннические страницы : три случайно зараженных сайта действуют как узлы TDS, загружая скрытый JavaScript, который перенаправляет посетителя на мошеннические страницы VexTrio или LosPollos. Это перенаправление происходит только тогда, когда посетитель нажимает на элемент страницы, что затрудняет его обнаружение.
Методы настойчивости и скрытности DollyWay
DollyWay разработал ряд методов, чтобы обеспечить свою устойчивость на зараженных сайтах. После того, как вредоносная программа скомпрометирует сайт WordPress, она гарантирует повторное заражение при каждой загрузке страницы, что затрудняет удаление. Вот ее основные тактики:
- Распространение PHP-кода по активным плагинам.
- Внедрение вредоносного кода в плагин WPCode (сторонний инструмент, используемый для изменения WordPress без изменения основных файлов).
- Скрытие WPCode из списка плагинов делает его невидимым для администраторов и усложняет удаление.
Кроме того, вредоносная программа создает скрытые учетные записи администраторов со случайными 32-символьными шестнадцатеричными строками, которые видны только при прямом просмотре базы данных, что позволяет злоумышленникам сохранять контроль над сайтом.
Заключение: постоянная и развивающаяся угроза
DollyWay — это постоянная и устойчивая вредоносная кампания, которая продолжает развиваться с использованием все более изощренных тактик. Ее способность:
- Автоматически повторно заражать сайты
- Обойдите обнаружение с помощью скрытых скриптов и учетных записей администратора
- Монетизация перенаправленного трафика через сети, связанные с мошенничеством
…делает его серьезной угрозой для владельцев сайтов WordPress по всему миру. Администраторы веб-сайтов должны сохранять бдительность и регулярно обновлять темы, плагины и протоколы безопасности, чтобы снизить риски заражения.
