DollyWay Malware-kampanj

DollyWay, en skadlig programvara som har varit aktiv sedan 2016, har äventyrat över 20 000 WordPress-webbplatser globalt. Denna pågående kampanj har blivit mer sofistikerad under åren och förfinat dess strategier för undandragande, återinfektion och intäktsgenerering, vilket gör den till ett betydande hot mot webbplatsens säkerhet.

DollyWays utveckling till ett taktiskt omdirigeringssystem

Till en början distribuerade DollyWay ransomware och banktrojaner, vilket utgjorde ett direkt hot mot webbplatsbesökare. Men i sin nuvarande version (DollyWay v3) har skadlig programvara flyttat fokus till att fungera som ett bedrägeriomdirigeringssystem, vilket leder användare till bedrägliga webbplatser.

Ny forskning har visat att DollyWay är en del av en mer omfattande, långvarig verksamhet känd som "DollyWay World Domination." Operationen inkluderar flera kampanjer som delar liknande kod, infrastruktur och taktik för intäktsgenerering. Skadlig programvara är uppkallad efter strängen som finns i dess kod:

Hur DollyWay v3 äventyrar tusentals WordPress-webbplatser

DollyWay v3 riktar sig mot sårbara WordPress-webbplatser genom att utnyttja n-dagars brister i plugins och teman. När en webbplats har äventyrats omdirigerar skadlig programvara besökare till skadliga webbplatser som erbjuder falska dejting, hasardspel, bedrägerier med kryptovaluta och utlottningar.

Från och med februari 2025 är DollyWay ansvarig för att generera över 10 miljoner bedrägliga visningar per månad och dirigera trafik till bluffsidor som tjänar pengar på via VexTrio och LosPollos affiliate-nätverk. Denna omdirigeringsprocessen hanteras genom ett Traffic Direction System (TDS) som filtrerar användare baserat på specifika egenskaper.

Infektionsprocessen i tre steg

• Installation av injektion och omdirigering : Skadlig programvara injicerar ett skript på webbplatsen med hjälp av wp_enqueue_script och laddar ett andra osäkert skript från den utsatta webbplatsen.
• Trafikfiltrering : Det andra skriptet analyserar besökshänvisningsdata och kategoriserar omdirigeringsmålen. Användare omdirigeras inte om de:
• Det finns ingen hänvisare (som direkt besökte webbplatsen).
• Upptäcks som bots.
• Är inloggade WordPress-användare, inklusive administratörer.
• Slutlig omdirigering till bedrägliga sidor : Tre slumpmässigt infekterade webbplatser fungerar som TDS-noder och laddar gömt JavaScript som omdirigerar besökaren till VexTrio eller LosPollos bluffsidor. Denna omdirigering sker bara när besökaren klickar på ett sidelement, vilket gör det svårare att upptäcka.

DollyWays uthållighets- och smygtekniker

DollyWay har utvecklat en rad tekniker för att säkerställa att den håller i sig på infekterade platser. När den väl äventyrar en WordPress-webbplats säkerställer skadlig programvara att den återinfekteras med varje sidladdning, vilket gör borttagningen svår. Här är dess viktigaste taktik:

• Sprider PHP-kod över aktiva plugins.
• Injicera skadlig kod i plugin-programmet WPCode (ett tredjepartsverktyg som används för att modifiera WordPress utan att ändra kärnfilerna).
• Att dölja WPCode från pluginlistan gör den osynlig för administratörer och mer utmanande att ta bort.

Dessutom skapar skadlig programvara dolda administratörskonton med slumpmässiga 32-teckens hex-strängar, som endast är synliga via direkt databasinspektion, vilket säkerställer att angripare behåller kontrollen över webbplatsen.

Slutsats: Ett ihållande och utvecklande hot

DollyWay är en pågående och motståndskraftig skadlig kodkampanj som fortsätter att utvecklas med allt mer sofistikerad taktik. Dess förmåga att:

• Återinfektera webbplatser automatiskt
• Undvik upptäckt genom dolda skript och administratörskonton
• Tjäna pengar på omdirigeringstrafik genom bedrägerirelaterade nätverk

…gör det till ett allvarligt hot för WordPress-webbplatsägare över hela världen. Webbplatsadministratörer måste vara vaksamma och uppdatera teman, plugins och säkerhetsprotokoll regelbundet för att minska riskerna för infektion.