DollyWay Malware Campaign

2016 முதல் செயலில் உள்ள ஒரு தீம்பொருள் நடவடிக்கையான DollyWay, உலகளவில் 20,000 க்கும் மேற்பட்ட WordPress தளங்களை சமரசம் செய்துள்ளது. இந்த தொடர்ச்சியான பிரச்சாரம் பல ஆண்டுகளாக மிகவும் நுட்பமாக வளர்ந்து, அதன் ஏய்ப்பு, மறு-தொற்று மற்றும் பணமாக்குதல் உத்திகளைச் செம்மைப்படுத்தி, தளப் பாதுகாப்பிற்கு குறிப்பிடத்தக்க அச்சுறுத்தலாக மாறியுள்ளது.

டாலிவேயின் தந்திரோபாய திசைதிருப்பல் அமைப்பாக பரிணாமம்

ஆரம்பத்தில், டாலிவே ரான்சம்வேர் மற்றும் வங்கி ட்ரோஜான்களை விநியோகித்தது, இது தள பார்வையாளர்களுக்கு நேரடி அச்சுறுத்தலாக அமைந்தது. இருப்பினும், அதன் தற்போதைய பதிப்பில் (டாலிவே v3), தீம்பொருள் ஒரு மோசடி திசைதிருப்பல் அமைப்பாக செயல்படுவதில் கவனம் செலுத்தியுள்ளது, இதனால் பயனர்கள் மோசடி தளங்களுக்கு இட்டுச் செல்கின்றனர்.

சமீபத்திய ஆராய்ச்சியின்படி, டாலிவே 'டாலிவே வேர்ல்ட் டாமினேஷன்' எனப்படும் மிகவும் விரிவான, நீண்டகால செயல்பாட்டின் ஒரு பகுதியாகும். இந்த செயல்பாட்டில் ஒத்த குறியீடு, உள்கட்டமைப்பு மற்றும் பணமாக்குதல் தந்திரோபாயங்களைப் பகிர்ந்து கொள்ளும் பல பிரச்சாரங்கள் உள்ளன. தீம்பொருள் அதன் குறியீட்டில் காணப்படும் சரத்தின் பெயரிடப்பட்டது:

DollyWay v3 ஆயிரக்கணக்கான WordPress தளங்களை எவ்வாறு சமரசம் செய்கிறது

DollyWay v3, செருகுநிரல்கள் மற்றும் கருப்பொருள்களில் உள்ள n-நாள் குறைபாடுகளைப் பயன்படுத்தி பாதிக்கப்படக்கூடிய WordPress தளங்களை குறிவைக்கிறது. ஒரு தளம் சமரசம் செய்யப்பட்டவுடன், தீம்பொருள் பார்வையாளர்களை போலி டேட்டிங், சூதாட்டம், கிரிப்டோகரன்சி மோசடிகள் மற்றும் ஸ்வீப்ஸ்டேக்குகளை வழங்கும் தீங்கிழைக்கும் தளங்களுக்கு திருப்பி விடுகிறது.

பிப்ரவரி 2025 நிலவரப்படி, டாலிவே மாதத்திற்கு 10 மில்லியனுக்கும் அதிகமான மோசடி பதிவுகளை உருவாக்குவதற்கு பொறுப்பாகும், இது VexTrio மற்றும் LosPollos இணைப்பு நெட்வொர்க்குகள் மூலம் பணமாக்கப்படும் மோசடி பக்கங்களுக்கு போக்குவரத்தை வழிநடத்துகிறது. இந்த திசைதிருப்பல் செயல்முறை குறிப்பிட்ட பண்புகளின் அடிப்படையில் பயனர்களை வடிகட்டும் போக்குவரத்து திசை அமைப்பு (TDS) மூலம் நிர்வகிக்கப்படுகிறது.

மூன்று-நிலை தொற்று செயல்முறை

• ஊசி மற்றும் திசைதிருப்பல் அமைப்பு : தீம்பொருள் wp_enqueue_script ஐப் பயன்படுத்தி தளத்தில் ஒரு ஸ்கிரிப்டை செலுத்துகிறது, சமரசம் செய்யப்பட்ட தளத்திலிருந்து இரண்டாவது பாதுகாப்பற்ற ஸ்கிரிப்டை ஏற்றுகிறது.
• போக்குவரத்து வடிகட்டுதல் : இரண்டாவது ஸ்கிரிப்ட் பார்வையாளர் பரிந்துரையாளர் தரவை பகுப்பாய்வு செய்து, திருப்பிவிடுதல் இலக்குகளை வகைப்படுத்துகிறது. பயனர்கள் திருப்பிவிடப்பட மாட்டார்கள், அவை:
• வலைத்தளத்தை நேரடியாகப் பார்வையிட்ட பரிந்துரையாளர் யாரும் இல்லை.
• பாட்களாகக் கண்டறியப்படுகின்றன.
• நிர்வாகிகள் உட்பட, உள்நுழைந்த WordPress பயனர்கள்.
• மோசடியான பக்கங்களுக்கான இறுதி வழிமாற்றம் : சீரற்ற முறையில் பாதிக்கப்பட்ட மூன்று தளங்கள் TDS முனைகளாகச் செயல்படுகின்றன, மறைக்கப்பட்ட ஜாவாஸ்கிரிப்டை ஏற்றுகின்றன, இது பார்வையாளரை VexTrio அல்லது LosPollos மோசடி பக்கங்களுக்குத் திருப்பிவிடுகிறது. பார்வையாளர் ஒரு பக்க உறுப்பைக் கிளிக் செய்யும் போது மட்டுமே இந்த வழிமாற்றம் நிகழ்கிறது, இதனால் அதைக் கண்டறிவது கடினமாகிறது.

டாலிவேயின் விடாமுயற்சி மற்றும் திருட்டுத்தனமான நுட்பங்கள்

பாதிக்கப்பட்ட தளங்களில் அதன் நிலைத்தன்மையை உறுதி செய்வதற்காக DollyWay பல்வேறு நுட்பங்களை உருவாக்கியுள்ளது. ஒரு WordPress தளத்தை அது சமரசம் செய்தவுடன், தீம்பொருள் ஒவ்வொரு பக்க ஏற்றத்திலும் அதை மீண்டும் பாதிப்பதை உறுதிசெய்கிறது, இதனால் அகற்றுவது கடினம். அதன் முக்கிய தந்திரோபாயங்கள் இங்கே:

• செயலில் உள்ள செருகுநிரல்களில் PHP குறியீட்டைப் பரப்புதல்.
• WPCode செருகுநிரலில் தீங்கிழைக்கும் குறியீட்டை உட்செலுத்துதல் (முக்கிய கோப்புகளை மாற்றாமல் WordPress ஐ மாற்றியமைக்கப் பயன்படுத்தப்படும் மூன்றாம் தரப்பு கருவி).
• செருகுநிரல் பட்டியலிலிருந்து WPCode ஐ மறைப்பது நிர்வாகிகளுக்கு கண்ணுக்குத் தெரியாததாகவும், அகற்றுவது மிகவும் சவாலானதாகவும் ஆக்குகிறது.

கூடுதலாக, தீம்பொருள் மறைக்கப்பட்ட நிர்வாகி கணக்குகளை சீரற்ற 32-எழுத்து ஹெக்ஸ் சரங்களுடன் உருவாக்குகிறது, அவை நேரடி தரவுத்தள ஆய்வு மூலம் மட்டுமே தெரியும், தாக்குபவர்கள் தளத்தின் மீது கட்டுப்பாட்டைப் பராமரிப்பதை உறுதி செய்கிறது.

முடிவு: ஒரு தொடர்ச்சியான மற்றும் வளர்ந்து வரும் அச்சுறுத்தல்

DollyWay என்பது தொடர்ந்து வரும் மற்றும் மீள்தன்மை கொண்ட தீம்பொருள் பிரச்சாரமாகும், இது பெருகிய முறையில் அதிநவீன தந்திரோபாயங்களுடன் தொடர்ந்து உருவாகி வருகிறது. அதன் திறன்:

• தளங்களை தானாகவே மீண்டும் தொற்று நீக்குதல்
• மறைக்கப்பட்ட ஸ்கிரிப்டுகள் மற்றும் நிர்வாக கணக்குகள் மூலம் கண்டறிதலைத் தவிர்க்கவும்.
• மோசடி தொடர்பான நெட்வொர்க்குகள் மூலம் திருப்பிவிடல் போக்குவரத்தைப் பணமாக்குங்கள்.

…உலகெங்கிலும் உள்ள வேர்ட்பிரஸ் தள உரிமையாளர்களுக்கு இது ஒரு கடுமையான அச்சுறுத்தலாக அமைகிறது. வலைத்தள நிர்வாகிகள் விழிப்புடன் இருக்க வேண்டும் மற்றும் தொற்றுநோய் அபாயங்களைக் குறைக்க கருப்பொருள்கள், செருகுநிரல்கள் மற்றும் பாதுகாப்பு நெறிமுறைகளை தொடர்ந்து புதுப்பிக்க வேண்டும்.