Multi-License Discount Quote
Banta sa Database Malware DollyWay Malware Campaign

DollyWay Malware Campaign

Sa pamamagitan ng Mezo sa Malware
Isalin To:
Wikang Filipino

Ang DollyWay, isang operasyon ng malware na aktibo mula noong 2016, ay nakompromiso ang mahigit 20,000 WordPress site sa buong mundo. Ang patuloy na kampanyang ito ay naging mas sopistikado sa paglipas ng mga taon, pinipino ang mga diskarte sa pag-iwas, muling impeksyon, at monetization nito, na ginagawa itong isang malaking banta sa seguridad ng site.

Ang Ebolusyon ng DollyWay sa isang Tactic Redirection System

Sa una, namahagi ang DollyWay ng ransomware at banking trojan, na naglalagay ng direktang banta sa mga bisita sa site. Gayunpaman, sa kasalukuyang bersyon nito (DollyWay v3), inilipat ng malware ang focus sa pagpapatakbo bilang isang scam redirection system, na humahantong sa mga user sa mga mapanlinlang na site.

Ang kamakailang pananaliksik ay nagsiwalat na ang DollyWay ay bahagi ng isang mas malawak at matagal na operasyon na kilala bilang 'DollyWay World Domination.' Kasama sa operasyon ang maraming campaign na may katulad na code, imprastraktura, at mga taktika sa monetization. Ang malware ay pinangalanan pagkatapos ng string na natagpuan sa code nito:

Paano Kinokompromiso ng DollyWay v3 ang Libo-libong Mga Site ng WordPress

Tina-target ng DollyWay v3 ang mga vulnerableng WordPress site sa pamamagitan ng pagsasamantala sa mga n-day flaws sa mga plugin at tema. Kapag nakompromiso ang isang site, nire-redirect ng malware ang mga bisita sa mga nakakahamak na site na nag-aalok ng pekeng pakikipag-date, pagsusugal, mga scam sa cryptocurrency, at sweepstakes.

Simula noong Pebrero 2025, ang DollyWay ay may pananagutan sa pagbuo ng mahigit 10 milyong mapanlinlang na impression bawat buwan, na nagdidirekta ng trapiko sa mga pahina ng scam na pinagkakakitaan sa pamamagitan ng VexTrio at LosPollos na mga kaakibat na network. Ang proseso ng pag-redirect na ito ay pinamamahalaan sa pamamagitan ng isang Traffic Direction System (TDS) na nag-filter ng mga user batay sa mga partikular na katangian.

Ang Tatlong Yugto na Proseso ng Impeksyon

  • Pag-setup ng Injection at Redirection : Ang malware ay nag-inject ng script sa site gamit ang wp_enqueue_script, naglo-load ng pangalawang hindi ligtas na script mula sa nakompromisong site.
  • Pag-filter ng Trapiko : Sinusuri ng pangalawang script ang data ng referrer ng bisita, na ikinakategorya ang mga target sa pag-redirect. Ang mga user ay hindi na-redirect kung sila ay:
  • Walang referrer (na direktang bumisita sa website).
  • Natukoy bilang mga bot.
  • Ay naka-log-in na mga gumagamit ng WordPress, kabilang ang mga admin.
  • Pangwakas na Pag-redirect sa Mga Mapanlinlang na Pahina : Tatlong random na nahawaang site ang gumaganap bilang mga TDS node, naglo-load ng nakatagong JavaScript na nagre-redirect sa bisita sa VexTrio o LosPollos na mga pahina ng scam. Nangyayari lamang ang pag-redirect na ito kapag nag-click ang bisita sa isang elemento ng pahina, na ginagawang mas mahirap na matukoy.

Ang Pagpupursige at Stealth Technique ng DollyWay

Ang DollyWay ay bumuo ng isang hanay ng mga diskarte upang matiyak ang pagtitiyaga nito sa mga nahawaang site. Sa sandaling nakompromiso nito ang isang WordPress site, tinitiyak ng malware na ito ay muling nakakahawa sa bawat pag-load ng pahina, na nagpapahirap sa pag-alis. Narito ang mga pangunahing taktika nito:

  • Pagkalat ng PHP code sa mga aktibong plugin.
  • Ang pag-inject ng malisyosong code sa WPCode plugin (isang third-party na tool na ginagamit upang baguhin ang WordPress nang hindi binabago ang mga pangunahing file).
  • Ang pagtatago ng WPCode mula sa listahan ng plugin ay ginagawang hindi nakikita ng mga administrator at mas mahirap alisin.

Bukod pa rito, ang malware ay gumagawa ng mga nakatagong admin account na may random na 32-character na hex string, na makikita lamang sa pamamagitan ng direktang inspeksyon sa database, na tinitiyak na ang mga umaatake ay nagpapanatili ng kontrol sa site.

Konklusyon: Isang Patuloy at Umuunlad na Banta

Ang DollyWay ay isang patuloy at nababanat na kampanya ng malware na patuloy na umuunlad sa mga mas sopistikadong taktika. Ang kakayahan nitong:

  • Awtomatikong ma-reinfect ang mga site
  • Umiwas sa pagtuklas sa pamamagitan ng mga nakatagong script at admin account
  • Pagkakitaan ang trapiko sa pag-redirect sa pamamagitan ng mga network na nauugnay sa panloloko

…ginagawa itong isang seryosong banta para sa mga may-ari ng WordPress site sa buong mundo. Dapat manatiling mapagbantay ang mga administrator ng website at regular na mag-update ng mga tema, plugin, at protocol ng seguridad upang mabawasan ang mga panganib ng impeksyon.

Trending

Pinaka Nanood

Naglo-load...