Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware DollyWay Malware Campaign

DollyWay Malware Campaign

Nga MezoMalware
Përkthe në:
Shqip

DollyWay, një operacion malware aktiv që nga viti 2016, ka komprometuar mbi 20,000 sajte të WordPress në mbarë botën. Kjo fushatë në vazhdim është bërë më e sofistikuar me kalimin e viteve, duke përmirësuar strategjitë e saj të evazionit, ri-infektimit dhe fitimit të parave, duke e bërë atë një kërcënim të rëndësishëm për sigurinë e sitit.

Evolucioni i DollyWay në një sistem ridrejtimi taktik

Fillimisht, DollyWay shpërndau ransomware dhe trojan bankar, duke paraqitur një kërcënim të drejtpërdrejtë për vizitorët e faqes. Sidoqoftë, në versionin e tij aktual (DollyWay v3), malware ka zhvendosur fokusin në funksionimin si një sistem ridrejtimi i mashtrimit, duke i çuar përdoruesit në sajte mashtruese.

Hulumtimet e fundit kanë zbuluar se DollyWay është pjesë e një operacioni më të gjerë dhe afatgjatë të njohur si 'DollyWay World Domination'. Operacioni përfshin fushata të shumta që ndajnë kode, infrastrukturë dhe taktika të ngjashme të fitimit të parave. Malware është emëruar sipas vargut të gjetur në kodin e tij:

Si DollyWay v3 komprometon mijëra sajte të WordPress

DollyWay v3 synon faqet e cenueshme të WordPress duke shfrytëzuar të metat n-ditore në shtojca dhe tema. Pasi një sajt komprometohet, malware i ridrejton vizitorët në sajte me qëllim të keq që ofrojnë takime të rreme, lojëra të fatit, mashtrime me kriptomonedha dhe lotari.

Që nga shkurti 2025, DollyWay është përgjegjëse për gjenerimin e mbi 10 milionë përshtypjeve mashtruese në muaj, duke e drejtuar trafikun në faqet e mashtrimit që fitohen para përmes rrjeteve të filialeve VexTrio dhe LosPollos. Ky proces ridrejtimi menaxhohet përmes një Sistemi të Drejtimit të Trafikut (TDS) që filtron përdoruesit bazuar në karakteristika specifike.

Procesi i infektimit me tre faza

  • Injeksioni dhe konfigurimi i ridrejtimit : Malware injekton një skrip në sajt duke përdorur wp_enqueue_script, duke ngarkuar një skript të dytë të pasigurt nga faqja e komprometuar.
  • Filtrimi i trafikut : Skripti i dytë analizon të dhënat e referuesit të vizitorëve, duke kategorizuar objektivat e ridrejtimit. Përdoruesit nuk ridrejtohen nëse:
  • Nuk ka asnjë referues (i cili ka vizituar drejtpërdrejt faqen e internetit).
  • Janë zbuluar si robotë.
  • Janë përdorues të regjistruar të WordPress, duke përfshirë administratorët.
  • Ridrejtimi përfundimtar në faqet mashtruese : Tre sajte të infektuara rastësisht veprojnë si nyje TDS, duke ngarkuar JavaScript të fshehur që e ridrejton vizitorin në faqet e mashtrimit VexTrio ose LosPollos. Ky ridrejtim ndodh vetëm kur vizitori klikon në një element faqeje, duke e bërë më të vështirë zbulimin.

Teknikat e Këmbënguljes dhe Vjedhjes së DollyWay

DollyWay ka zhvilluar një sërë teknikash për të siguruar qëndrueshmërinë e saj në vendet e infektuara. Pasi komprometon një sajt të WordPress-it, malware siguron që ai të riinfektohet me çdo ngarkesë faqeje, duke e bërë të vështirë heqjen. Këtu janë taktikat kryesore të tij:

  • Përhapja e kodit PHP nëpër shtojcat aktive.
  • Injektimi i kodit me qëllim të keq në shtojcën WPCode (një mjet i palës së tretë i përdorur për të modifikuar WordPress pa ndryshuar skedarët bazë).
  • Fshehja e WPCode nga lista e shtojcave e bën atë të padukshëm për administratorët dhe më sfidues për ta hequr atë.

Për më tepër, malware krijon llogari të fshehura administratori me vargje të rastësishme gjashtëkëndore prej 32 karakteresh, të cilat janë të dukshme vetëm përmes inspektimit të drejtpërdrejtë të bazës së të dhënave, duke siguruar që sulmuesit të mbajnë kontrollin mbi sitin.

Përfundim: Një kërcënim i vazhdueshëm dhe në zhvillim

DollyWay është një fushatë e vazhdueshme dhe elastike e malware që vazhdon të evoluojë me taktika gjithnjë e më të sofistikuara. Aftësia e tij për të:

  • Riinfektoni faqet automatikisht
  • Shmangni zbulimin përmes skripteve të fshehura dhe llogarive të administratorit
  • Fitoni para nga trafiku i ridrejtimit përmes rrjeteve të lidhura me mashtrimin

…e bën atë një kërcënim serioz për pronarët e faqeve të WordPress në mbarë botën. Administratorët e faqeve të internetit duhet të qëndrojnë vigjilentë dhe të përditësojnë rregullisht temat, shtojcat dhe protokollet e sigurisë për të zbutur rreziqet e infeksionit.

Në trend

Më e shikuara

Po ngarkohet...