DollyWay Malware Campaign

2016 నుండి క్రియాశీలంగా ఉన్న మాల్వేర్ ఆపరేషన్ అయిన డాలీవే, ప్రపంచవ్యాప్తంగా 20,000 కంటే ఎక్కువ WordPress సైట్‌లను రాజీ చేసింది. ఈ కొనసాగుతున్న ప్రచారం సంవత్సరాలుగా మరింత అధునాతనంగా మారింది, దాని ఎగవేత, తిరిగి సంక్రమణ మరియు డబ్బు ఆర్జన వ్యూహాలను మెరుగుపరిచింది, ఇది సైట్ భద్రతకు గణనీయమైన ముప్పుగా మారింది.

వ్యూహాత్మక దారి మళ్లింపు వ్యవస్థగా డాలీవే పరిణామం

ప్రారంభంలో, డాలీవే రాన్సమ్‌వేర్ మరియు బ్యాంకింగ్ ట్రోజన్‌లను పంపిణీ చేసింది, ఇది సైట్ సందర్శకులకు ప్రత్యక్ష ముప్పుగా పరిణమించింది. అయితే, దాని ప్రస్తుత వెర్షన్ (డాలీవే v3)లో, మాల్వేర్ స్కామ్ దారి మళ్లింపు వ్యవస్థగా పనిచేయడంపై దృష్టి సారించింది, దీని వలన వినియోగదారులు మోసపూరిత సైట్‌లకు దారితీశారు.

ఇటీవలి పరిశోధన ప్రకారం డాలీవే 'డాలీవే వరల్డ్ డామినేషన్' అని పిలువబడే మరింత విస్తృతమైన, దీర్ఘకాలిక ఆపరేషన్‌లో భాగమని వెల్లడైంది. ఈ ఆపరేషన్‌లో సారూప్య కోడ్, మౌలిక సదుపాయాలు మరియు డబ్బు ఆర్జన వ్యూహాలను పంచుకునే బహుళ ప్రచారాలు ఉన్నాయి. మాల్వేర్ దాని కోడ్‌లో కనిపించే స్ట్రింగ్ పేరు మీద పెట్టబడింది:

డాలీవే v3 వేలకొద్దీ వర్డ్‌ప్రెస్ సైట్‌లను ఎలా రాజీ చేస్తుంది

DollyWay v3 ప్లగిన్‌లు మరియు థీమ్‌లలోని n-day లోపాలను ఉపయోగించుకోవడం ద్వారా హాని కలిగించే WordPress సైట్‌లను లక్ష్యంగా చేసుకుంటుంది. ఒక సైట్ రాజీపడిన తర్వాత, మాల్వేర్ సందర్శకులను నకిలీ డేటింగ్, జూదం, క్రిప్టోకరెన్సీ స్కామ్‌లు మరియు స్వీప్‌స్టేక్‌లను అందించే హానికరమైన సైట్‌లకు దారి మళ్లిస్తుంది.

ఫిబ్రవరి 2025 నాటికి, డాలీవే నెలకు 10 మిలియన్లకు పైగా మోసపూరిత ముద్రలను ఉత్పత్తి చేయడానికి బాధ్యత వహిస్తుంది, VexTrio మరియు LosPollos అనుబంధ నెట్‌వర్క్‌ల ద్వారా డబ్బు ఆర్జించే స్కామ్ పేజీలకు ట్రాఫిక్‌ను మళ్లిస్తుంది. ఈ దారి మళ్లింపు ప్రక్రియ నిర్దిష్ట లక్షణాల ఆధారంగా వినియోగదారులను ఫిల్టర్ చేసే ట్రాఫిక్ డైరెక్షన్ సిస్టమ్ (TDS) ద్వారా నిర్వహించబడుతుంది.

మూడు దశల సంక్రమణ ప్రక్రియ

• ఇంజెక్షన్ మరియు దారి మళ్లింపు సెటప్ : మాల్వేర్ wp_enqueue_script ఉపయోగించి సైట్‌లోకి స్క్రిప్ట్‌ను ఇంజెక్ట్ చేస్తుంది, రాజీపడిన సైట్ నుండి రెండవ సురక్షితం కాని స్క్రిప్ట్‌ను లోడ్ చేస్తుంది.
• ట్రాఫిక్ ఫిల్టరింగ్ : రెండవ స్క్రిప్ట్ సందర్శకుల రిఫరర్ డేటాను విశ్లేషిస్తుంది, దారి మళ్లింపు లక్ష్యాలను వర్గీకరిస్తుంది. వినియోగదారులు ఇలా ఉంటే దారి మళ్లించబడరు:
• వెబ్‌సైట్‌ను నేరుగా సందర్శించిన రిఫరర్ ఎవరూ లేరు.
• బాట్‌లుగా గుర్తించబడ్డాయి.
• అడ్మిన్లతో సహా లాగిన్ అయిన WordPress వినియోగదారులు.
• మోసపూరిత పేజీలకు తుది దారి మళ్లింపు : యాదృచ్ఛికంగా సోకిన మూడు సైట్‌లు TDS నోడ్‌లుగా పనిచేస్తాయి, దాచిన జావాస్క్రిప్ట్‌ను లోడ్ చేస్తాయి, ఇవి సందర్శకుడిని VexTrio లేదా LosPollos స్కామ్ పేజీలకు దారి మళ్లిస్తాయి. ఈ దారి మళ్లింపు సందర్శకుడు పేజీ మూలకంపై క్లిక్ చేసినప్పుడు మాత్రమే జరుగుతుంది, దీని వలన గుర్తించడం కష్టమవుతుంది.

డాలీవే యొక్క పట్టుదల మరియు రహస్య పద్ధతులు

డాలీవే వైరస్ సోకిన సైట్‌లలో దాని నిలకడను నిర్ధారించడానికి అనేక పద్ధతులను అభివృద్ధి చేసింది. ఇది ఒక వర్డ్‌ప్రెస్ సైట్‌ను రాజీ చేసిన తర్వాత, మాల్వేర్ ప్రతి పేజీ లోడ్‌తో తిరిగి ఇన్ఫెక్ట్ అయ్యేలా చేస్తుంది, దీని వలన తొలగింపు కష్టమవుతుంది. దాని కీలక వ్యూహాలు ఇక్కడ ఉన్నాయి:

• క్రియాశీల ప్లగిన్‌లలో PHP కోడ్‌ను వ్యాప్తి చేయడం.
• WPCode ప్లగిన్ లోకి హానికరమైన కోడ్‌ను ఇంజెక్ట్ చేయడం (కోర్ ఫైల్‌లను మార్చకుండా WordPress ను సవరించడానికి ఉపయోగించే మూడవ పక్ష సాధనం).
• ప్లగిన్ జాబితా నుండి WPCode ను దాచడం వలన నిర్వాహకులకు అది కనిపించదు మరియు తీసివేయడం మరింత సవాలుగా ఉంటుంది.

అదనంగా, మాల్వేర్ యాదృచ్ఛికంగా 32-అక్షరాల హెక్స్ స్ట్రింగ్‌లతో దాచిన అడ్మిన్ ఖాతాలను సృష్టిస్తుంది, ఇవి ప్రత్యక్ష డేటాబేస్ తనిఖీ ద్వారా మాత్రమే కనిపిస్తాయి, దాడి చేసేవారు సైట్‌పై నియంత్రణను కలిగి ఉన్నారని నిర్ధారిస్తుంది.

ముగింపు: నిరంతర మరియు అభివృద్ధి చెందుతున్న ముప్పు

డాలీవే అనేది కొనసాగుతున్న మరియు స్థితిస్థాపకంగా ఉండే మాల్వేర్ ప్రచారం, ఇది మరింత అధునాతన వ్యూహాలతో అభివృద్ధి చెందుతూనే ఉంది. దీని సామర్థ్యం:

• సైట్‌లను స్వయంచాలకంగా తిరిగి ఇన్ఫెక్ట్ చేయండి
• దాచిన స్క్రిప్ట్‌లు మరియు నిర్వాహక ఖాతాల ద్వారా గుర్తింపును తప్పించుకోండి
• మోసం-సంబంధిత నెట్‌వర్క్‌ల ద్వారా దారి మళ్లింపు ట్రాఫిక్‌ను మానిటైజ్ చేయండి

…ప్రపంచవ్యాప్తంగా ఉన్న WordPress సైట్ యజమానులకు ఇది తీవ్రమైన ముప్పుగా మారుతుంది. వెబ్‌సైట్ నిర్వాహకులు అప్రమత్తంగా ఉండాలి మరియు సంక్రమణ ప్రమాదాలను తగ్గించడానికి థీమ్‌లు, ప్లగిన్‌లు మరియు భద్రతా ప్రోటోకాల్‌లను క్రమం తప్పకుండా నవీకరించాలి.