Kampaň proti škodlivému softvéru DollyWay
DollyWay, malvérová operácia aktívna od roku 2016, narušila celosvetovo viac ako 20 000 stránok WordPress. Táto prebiehajúca kampaň sa v priebehu rokov stala sofistikovanejšou a zdokonalila svoje stratégie vyhýbania sa riziku, opätovnej infekcie a speňaženia, čím sa stala významnou hrozbou pre bezpečnosť stránok.
Obsah
Vývoj spoločnosti DollyWay na systém taktického presmerovania
DollyWay spočiatku distribuoval ransomvér a bankové trójske kone, čo predstavovalo priamu hrozbu pre návštevníkov stránky. Vo svojej aktuálnej verzii (DollyWay v3) sa však malvér zameral na fungovanie ako systém presmerovania podvodov, čo vedie používateľov na podvodné stránky.
Nedávny výskum odhalil, že DollyWay je súčasťou rozsiahlejšej, dlhotrvajúcej operácie známej ako 'DollyWay World Domination.' Operácia zahŕňa viacero kampaní, ktoré zdieľajú podobný kód, infraštruktúru a taktiku speňaženia. Malvér je pomenovaný podľa reťazca nájdeného v jeho kóde:
Ako DollyWay v3 kompromituje tisíce stránok WordPress
DollyWay v3 sa zameriava na zraniteľné stránky WordPress využívaním n-dňových nedostatkov v doplnkoch a témach. Akonáhle je stránka napadnutá, malvér presmeruje návštevníkov na škodlivé stránky ponúkajúce falošné zoznamky, hazardné hry, podvody s kryptomenami a stávky.
Od februára 2025 je spoločnosť DollyWay zodpovedná za generovanie viac ako 10 miliónov podvodných zobrazení mesačne, smerujúcich návštevnosť na podvodné stránky, ktoré sú speňažené prostredníctvom pridružených sietí VexTrio a LosPollos. Tento proces presmerovania je riadený systémom Traffic Direction System (TDS), ktorý filtruje používateľov na základe špecifických charakteristík.
Trojfázový infekčný proces
- Nastavenie vstrekovania a presmerovania : Malvér vloží skript na stránku pomocou wp_enqueue_script, čím načíta druhý nebezpečný skript z napadnutej stránky.
- Filtrovanie návštevnosti : Druhý skript analyzuje údaje sprostredkovateľov návštevníkov a kategorizuje ciele presmerovania. Používatelia nebudú presmerovaní, ak:
- Neexistuje žiadny sprostredkovateľ (ktorý priamo navštívil webovú stránku).
- Sú detekované ako roboty.
- Sú prihlásení používatelia WordPress, vrátane správcov.
- Konečné presmerovanie na podvodné stránky : Tri náhodne infikované stránky fungujú ako uzly TDS a načítavajú skrytý JavaScript, ktorý presmeruje návštevníka na podvodné stránky VexTrio alebo LosPollos. K tomuto presmerovaniu dôjde iba vtedy, keď návštevník klikne na prvok stránky, čo sťažuje jeho odhalenie.
Perzistencia a stealth techniky DollyWay
DollyWay vyvinul celý rad techník na zabezpečenie jeho pretrvávania na infikovaných stránkach. Keď malvér kompromituje stránku WordPress, zabezpečí, aby sa znova infikoval pri každom načítaní stránky, čo sťažuje odstránenie. Tu sú jeho kľúčové taktiky:
- Šírenie PHP kódu medzi aktívne pluginy.
- Vloženie škodlivého kódu do doplnku WPCode (nástroj tretej strany používaný na úpravu WordPress bez zmeny základných súborov).
- Skrytie WPCode zo zoznamu doplnkov ho robí neviditeľným pre správcov a jeho odstránenie je náročnejšie.
Malvér navyše vytvára skryté správcovské účty s náhodnými 32-miestnymi hexadecimálnymi reťazcami, ktoré sú viditeľné iba prostredníctvom priamej kontroly databázy, čo zaisťuje útočníkom kontrolu nad webom.
Záver: Trvalá a vyvíjajúca sa hrozba
DollyWay je prebiehajúca a odolná kampaň proti malvéru, ktorá sa neustále vyvíja s čoraz sofistikovanejšími taktikami. Jeho schopnosť:
- Automaticky znova infikujte stránky
- Vyhnite sa detekcii pomocou skrytých skriptov a správcovských účtov
- Speňažte presmerovanie cez siete súvisiace s podvodmi
...to z neho robí vážnu hrozbu pre vlastníkov stránok WordPress na celom svete. Správcovia webových stránok musia zostať ostražití a pravidelne aktualizovať témy, doplnky a bezpečnostné protokoly, aby sa znížilo riziko infekcie.
