Kampanja zlonamerne programske opreme DollyWay
DollyWay, operacija zlonamerne programske opreme, ki je aktivna od leta 2016, je ogrozila več kot 20.000 spletnih mest WordPress po vsem svetu. Ta tekoča kampanja je z leti postajala vse bolj izpopolnjena, izpopolnjevala je svoje strategije izogibanja, ponovne okužbe in monetizacije, zaradi česar je pomembna grožnja varnosti spletnega mesta.
Kazalo
DollyWayjeva evolucija v sistem taktičnega preusmerjanja
Sprva je DollyWay distribuiral izsiljevalsko programsko opremo in bančne trojance, kar je neposredno ogrožalo obiskovalce spletnega mesta. Vendar se je zlonamerna programska oprema v svoji trenutni različici (DollyWay v3) osredotočila na delovanje kot sistem za preusmeritev prevare, ki uporabnike vodi na goljufiva mesta.
Nedavne raziskave so pokazale, da je DollyWay del obsežnejše, dolgotrajne operacije, znane kot 'DollyWay World Domination'. Operacija vključuje več kampanj, ki imajo podobno kodo, infrastrukturo in taktike monetizacije. Zlonamerna programska oprema je poimenovana po nizu v njeni kodi:
Kako DollyWay v3 ogrozi na tisoče spletnih mest WordPress
DollyWay v3 cilja na ranljiva spletna mesta WordPress z izkoriščanjem n-dnevnih napak v vtičnikih in temah. Ko je spletno mesto ogroženo, zlonamerna programska oprema preusmeri obiskovalce na zlonamerna spletna mesta, ki ponujajo lažne zmenke, igre na srečo, prevare s kriptovalutami in nagradne igre.
Od februarja 2025 je DollyWay odgovoren za ustvarjanje več kot 10 milijonov goljufivih prikazov na mesec, usmerjanje prometa na prevarantske strani, ki se monetizirajo prek pridruženih omrežij VexTrio in LosPollos. Ta postopek preusmeritve se upravlja prek sistema za usmerjanje prometa (TDS), ki filtrira uporabnike na podlagi posebnih značilnosti.
Tristopenjski proces okužbe
- Nastavitev vbrizgavanja in preusmeritve : zlonamerna programska oprema vbrizga skript na spletno mesto z uporabo wp_enqueue_script in naloži drugi nevaren skript z ogroženega mesta.
- Filtriranje prometa : drugi skript analizira podatke o napotiteljih obiskovalcev in kategorizira cilje preusmeritve. Uporabniki niso preusmerjeni, če:
- Ni napotitelja (ki je neposredno obiskal spletno mesto).
- So zaznani kot roboti.
- So prijavljeni uporabniki WordPressa, vključno s skrbniki.
- Končna preusmeritev na goljufive strani : tri naključno okužena mesta delujejo kot vozlišča TDS in nalagajo skriti JavaScript, ki preusmeri obiskovalca na strani s prevarami VexTrio ali LosPollos. Ta preusmeritev se zgodi le, ko obiskovalec klikne element strani, zaradi česar ga je težje zaznati.
DollyWayjeve tehnike vztrajnosti in prikritosti
DollyWay je razvil vrsto tehnik za zagotovitev njegove obstojnosti na okuženih mestih. Ko ogrozi spletno mesto WordPress, zlonamerna programska oprema zagotovi, da se znova okuži z vsakim nalaganjem strani, kar oteži odstranitev. Tukaj so njene ključne taktike:
- Širjenje PHP kode po aktivnih vtičnikih.
- Vbrizgavanje zlonamerne kode v vtičnik WPCode (orodje tretje osebe, ki se uporablja za spreminjanje WordPressa brez spreminjanja osnovnih datotek).
- Če kodo WPCode skrijete s seznama vtičnikov, postane nevidna za skrbnike in jo je težje odstraniti.
Poleg tega zlonamerna programska oprema ustvari skrite skrbniške račune z naključnimi 32-mestnimi heksadecimalnimi nizi, ki so vidni samo z neposrednim pregledom baze podatkov, kar zagotavlja napadalcem, da ohranijo nadzor nad spletnim mestom.
Zaključek: Vztrajna in razvijajoča se grožnja
DollyWay je stalna in odporna kampanja zlonamerne programske opreme, ki se še naprej razvija z vedno bolj izpopolnjenimi taktikami. Njegova sposobnost, da:
- Samodejno znova okužite spletna mesta
- Izogni se zaznavanju prek skritih skriptov in skrbniških računov
- Monetizirajte promet preusmeritve prek omrežij, povezanih z goljufijami
… resno ogroža lastnike spletnih mest WordPress po vsem svetu. Skrbniki spletnih mest morajo ostati pozorni in redno posodabljati teme, vtičnike in varnostne protokole, da zmanjšajo tveganje okužbe.
