แคมเปญมัลแวร์ DollyWay

DollyWay ซึ่งเป็นมัลแวร์ที่ดำเนินการมาตั้งแต่ปี 2016 ได้โจมตีเว็บไซต์ WordPress กว่า 20,000 แห่งทั่วโลก แคมเปญที่ดำเนินอยู่นี้ได้รับการพัฒนาให้ซับซ้อนมากขึ้นในช่วงหลายปีที่ผ่านมา โดยปรับปรุงกลยุทธ์การหลบเลี่ยง การติดเชื้อซ้ำ และการสร้างรายได้ ทำให้กลายเป็นภัยคุกคามที่สำคัญต่อความปลอดภัยของเว็บไซต์

วิวัฒนาการของ DollyWay สู่ระบบการเปลี่ยนเส้นทางเชิงกลยุทธ์

ในช่วงแรก DollyWay แพร่กระจายแรนซัมแวร์และโทรจันสำหรับธนาคาร ซึ่งก่อให้เกิดภัยคุกคามโดยตรงต่อผู้เยี่ยมชมเว็บไซต์ อย่างไรก็ตาม ในเวอร์ชันปัจจุบัน (DollyWay v3) มัลแวร์ได้เปลี่ยนโฟกัสไปที่การทำงานเป็นระบบเปลี่ยนเส้นทางการหลอกลวง ซึ่งทำให้ผู้ใช้ไปยังเว็บไซต์หลอกลวง

การวิจัยล่าสุดเผยให้เห็นว่า DollyWay เป็นส่วนหนึ่งของปฏิบัติการระยะยาวที่กว้างขวางกว่าซึ่งรู้จักกันในชื่อ 'DollyWay World Domination' ปฏิบัติการนี้ประกอบด้วยแคมเปญต่างๆ มากมายที่ใช้โค้ด โครงสร้างพื้นฐาน และกลยุทธ์การสร้างรายได้ที่คล้ายคลึงกัน มัลแวร์นี้ได้รับการตั้งชื่อตามสตริงที่พบในโค้ด:

DollyWay v3 ส่งผลกระทบต่อเว็บไซต์ WordPress หลายพันแห่งได้อย่างไร

DollyWay v3 กำหนดเป้าหมายไซต์ WordPress ที่มีช่องโหว่โดยใช้ประโยชน์จากจุดบกพร่อง n-day ในปลั๊กอินและธีม เมื่อไซต์ถูกบุกรุก มัลแวร์จะเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์อันตรายที่เสนอบริการหาคู่ปลอม การพนัน การหลอกลวงสกุลเงินดิจิทัล และการจับฉลาก

ณ เดือนกุมภาพันธ์ 2025 DollyWay รับผิดชอบในการสร้างการแสดงผลหลอกลวงมากกว่า 10 ล้านครั้งต่อเดือน โดยนำผู้เข้าชมไปยังหน้าหลอกลวงที่สร้างรายได้ผ่านเครือข่ายพันธมิตร VexTrio และ LosPollos กระบวนการเปลี่ยนเส้นทางนี้ได้รับการจัดการผ่านระบบกำหนดทิศทางการเข้าชม (TDS) ที่กรองผู้ใช้ตามลักษณะเฉพาะ

กระบวนการติดเชื้อ 3 ขั้นตอน

• การตั้งค่าการฉีดและการเปลี่ยนเส้นทาง : มัลแวร์จะฉีดสคริปต์เข้าไปในไซต์โดยใช้ wp_enqueue_script ทำให้โหลดสคริปต์ที่ไม่ปลอดภัยตัวที่สองจากไซต์ที่ถูกบุกรุก
• การกรองข้อมูลการเข้าชม : สคริปต์ที่สองจะวิเคราะห์ข้อมูลผู้อ้างอิงผู้เยี่ยมชม โดยจัดหมวดหมู่เป้าหมายการเปลี่ยนเส้นทาง ผู้ใช้จะไม่ถูกเปลี่ยนเส้นทางหาก:
• ไม่มีผู้อ้างอิง(ที่เข้ามาเยี่ยมชมเว็บไซต์โดยตรง)
• ถูกตรวจพบว่าเป็นบอต
• คือผู้ใช้ WordPress ที่เข้าสู่ระบบ รวมถึงผู้ดูแลระบบ
• การเปลี่ยนเส้นทางสุดท้ายไปยังหน้าหลอกลวง : เว็บไซต์ที่ติดไวรัสแบบสุ่มสามแห่งทำหน้าที่เป็นโหนด TDS โดยโหลด JavaScript ที่ซ่อนอยู่ซึ่งเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังหน้าหลอกลวง VexTrio หรือ LosPollos การเปลี่ยนเส้นทางนี้เกิดขึ้นเมื่อผู้เยี่ยมชมคลิกที่องค์ประกอบของหน้าเท่านั้น ทำให้ตรวจจับได้ยากขึ้น

เทคนิคการยืนหยัดและซ่อนเร้นของ DollyWay

DollyWay ได้พัฒนาเทคนิคต่างๆ มากมายเพื่อให้แน่ใจว่ามัลแวร์จะคงอยู่บนไซต์ที่ติดไวรัส เมื่อมัลแวร์โจมตีไซต์ WordPress แล้ว มัลแวร์จะทำการติดไวรัสซ้ำทุกครั้งที่โหลดหน้า ทำให้ยากต่อการลบออก ต่อไปนี้คือกลวิธีสำคัญ:

• การแพร่กระจายโค้ด PHP ไปยังปลั๊กอินที่ใช้งานอยู่
• การฉีดโค้ดที่เป็นอันตรายเข้าไปในปลั๊กอิน WPCode (เครื่องมือของบุคคลที่สามที่ใช้เพื่อปรับเปลี่ยน WordPress โดยไม่เปลี่ยนแปลงไฟล์หลัก)
• การซ่อน WPCode จากรายการปลั๊กอินจะทำให้ผู้ดูแลระบบมองไม่เห็นและลบออกได้ยากขึ้น

นอกจากนี้ มัลแวร์ยังสร้างบัญชีผู้ดูแลระบบที่ซ่อนอยู่โดยมีสตริงเลขฐานสิบหกแบบสุ่ม 32 อักขระ ซึ่งจะมองเห็นได้ผ่านการตรวจสอบฐานข้อมูลโดยตรงเท่านั้น ทำให้มั่นใจได้ว่าผู้โจมตีจะสามารถควบคุมเว็บไซต์ได้

บทสรุป: ภัยคุกคามที่คงอยู่และเปลี่ยนแปลงตลอดเวลา

DollyWay คือแคมเปญมัลแวร์ที่ดำเนินอย่างต่อเนื่องและยืดหยุ่นซึ่งยังคงพัฒนาด้วยกลยุทธ์ที่ซับซ้อนมากขึ้นเรื่อยๆ ความสามารถที่จะ:

• ติดเชื้อไซต์อีกครั้งโดยอัตโนมัติ
• หลีกเลี่ยงการตรวจจับผ่านสคริปต์ที่ซ่อนอยู่และบัญชีผู้ดูแลระบบ
• สร้างรายได้จากการเปลี่ยนเส้นทางผ่านเครือข่ายที่เกี่ยวข้องกับการฉ้อโกง

…ทำให้เป็นภัยคุกคามร้ายแรงต่อเจ้าของเว็บไซต์ WordPress ทั่วโลก ผู้ดูแลเว็บไซต์ต้องเฝ้าระวังและอัปเดตธีม ปลั๊กอิน และโปรโตคอลความปลอดภัยเป็นประจำเพื่อลดความเสี่ยงของการติดไวรัส