DollyWay Malware Campaign
ДоллиВаи, операција злонамерног софтвера која је активна од 2016. године, компромитовала је преко 20.000 ВордПресс сајтова широм света. Ова текућа кампања је постала софистициранија током година, усавршавајући своје стратегије избегавања, поновне инфекције и монетизације, што је чини значајном претњом безбедности сајта.
Преглед садржаја
ДоллиВаиева еволуција у систем тактичког преусмеравања
У почетку, ДоллиВаи је дистрибуирао рансомваре и банкарске тројанце, представљајући директну претњу посетиоцима сајта. Међутим, у својој тренутној верзији (ДоллиВаи в3), злонамерни софтвер је померио фокус на функционисање као систем за преусмеравање преваре, водећи кориснике на лажне сајтове.
Недавно истраживање је открило да је ДоллиВаи део опсежније, дуготрајније операције познате као 'ДоллиВаи Ворлд Доминатион'. Операција укључује више кампања које деле сличан код, инфраструктуру и тактике монетизације. Малвер је назван по низу који се налази у његовом коду:
Како ДоллиВаи в3 компромитује хиљаде ВордПресс сајтова
ДоллиВаи в3 циља рањиве ВордПресс сајтове тако што искоришћава н-дневне недостатке у додацима и темама. Када је сајт компромитован, злонамерни софтвер преусмерава посетиоце на злонамерне сајтове који нуде лажне састанке, коцкање, преваре са криптовалутама и наградне игре.
Од фебруара 2025. ДоллиВаи је одговоран за генерисање преко 10 милиона лажних приказа месечно, усмеравајући саобраћај на странице за превару које се монетизују преко ВекТрио и ЛосПоллос партнерских мрежа. Овим процесом преусмеравања се управља преко система за усмеравање саобраћаја (ТДС) који филтрира кориснике на основу специфичних карактеристика.
Процес инфекције у три фазе
- Подешавање убризгавања и преусмеравања : Малвер убризгава скрипту на сајт користећи вп_енкуеуе_сцрипт, учитавајући другу небезбедну скрипту са угрожене локације.
- Филтрирање саобраћаја : Друга скрипта анализира податке о упућивачима посетилаца, категоризујући циљеве преусмеравања. Корисници се не преусмеравају ако:
- Не постоји упућивач (који је директно посетио веб локацију).
- Откривени су као ботови.
- Да ли су пријављени корисници ВордПресс-а, укључујући администраторе.
- Коначно преусмеравање на лажне странице : Три насумично заражене локације делују као ТДС чворови, учитавајући скривени ЈаваСцрипт који преусмерава посетиоца на ВекТрио или ЛосПоллос странице преваре. Ово преусмеравање се дешава само када посетилац кликне на елемент странице, што отежава његово откривање.
ДоллиВаи-ове технике упорности и прикривености
ДоллиВаи је развио низ техника како би осигурао његову постојаност на зараженим локацијама. Једном када компромитује ВордПресс локацију, малвер осигурава да се поново инфицира при сваком учитавању странице, што отежава уклањање. Ево његове кључне тактике:
- Ширење ПХП кода на активне додатке.
- Убацивање злонамерног кода у додатак ВПЦоде (алат треће стране који се користи за модификовање ВордПресс-а без мењања основних датотека).
- Сакривање ВПЦоде-а са листе додатака чини га невидљивим за администраторе и тежим за уклањање.
Поред тога, злонамерни софтвер креира скривене администраторске налоге са насумичним хексадецималним низовима од 32 знака, који су видљиви само путем директне инспекције базе података, осигуравајући да нападачи задрже контролу над сајтом.
Закључак: Упорна претња која се развија
ДоллиВаи је стална и отпорна кампања против малвера која наставља да се развија уз све софистицираније тактике. Његова способност да:
- Аутоматски поново инфицирајте сајтове
- Избегните откривање преко скривених скрипти и администраторских налога
- Уновчите саобраћај преусмеравања преко мрежа повезаних са преварама
… чини га озбиљном претњом за власнике ВордПресс сајтова широм света. Администратори веб локација морају да буду на опрезу и редовно ажурирају теме, додатке и безбедносне протоколе како би умањили ризик од инфекције.
