DollyWay Kötü Amaçlı Yazılım Kampanyası
2016'dan beri aktif olan bir kötü amaçlı yazılım operasyonu olan DollyWay, dünya çapında 20.000'den fazla WordPress sitesini tehlikeye attı. Bu devam eden kampanya yıllar geçtikçe daha da karmaşık hale geldi, kaçınma, yeniden bulaşma ve para kazanma stratejilerini geliştirdi ve site güvenliği için önemli bir tehdit haline geldi.
İçindekiler
DollyWay’in Taktik Yönlendirme Sistemine Evrimi
Başlangıçta, DollyWay site ziyaretçilerine doğrudan bir tehdit oluşturan fidye yazılımları ve bankacılık trojanları dağıttı. Ancak, mevcut sürümünde (DollyWay v3), kötü amaçlı yazılım odak noktasını dolandırıcılık yönlendirme sistemi olarak çalışmaya kaydırdı ve kullanıcıları dolandırıcı sitelere yönlendirdi.
Son araştırmalar, DollyWay'in 'DollyWay World Domination' olarak bilinen daha kapsamlı, uzun süreli bir operasyonun parçası olduğunu ortaya koydu. Operasyon, benzer kod, altyapı ve para kazanma taktiklerini paylaşan birden fazla kampanyayı içeriyor. Kötü amaçlı yazılım, kodunda bulunan dizeye göre adlandırılmıştır:
DollyWay v3 Binlerce WordPress Sitesini Nasıl Tehlikeye Atıyor
DollyWay v3, eklentilerdeki ve temalardaki n-günlük kusurları istismar ederek savunmasız WordPress sitelerini hedef alır. Bir site tehlikeye girdiğinde, kötü amaçlı yazılım ziyaretçileri sahte flört, kumar, kripto para dolandırıcılığı ve çekilişler sunan kötü amaçlı sitelere yönlendirir.
Şubat 2025 itibarıyla DollyWay, ayda 10 milyondan fazla sahte gösterim üretmekten ve trafiği VexTrio ve LosPollos iştirak ağları aracılığıyla paraya çevrilen dolandırıcılık sayfalarına yönlendirmekten sorumludur. Bu yönlendirme süreci, kullanıcıları belirli özelliklere göre filtreleyen bir Trafik Yönlendirme Sistemi (TDS) aracılığıyla yönetilir.
Üç Aşamalı Enfeksiyon Süreci
- Enjeksiyon ve Yönlendirme Kurulumu : Kötü amaçlı yazılım, wp_enqueue_script kullanarak siteye bir komut dosyası enjekte eder ve tehlikeye atılan siteden ikinci bir güvenli olmayan komut dosyası yükler.
- Trafik Filtreleme : İkinci betik, yönlendirme hedeflerini kategorilere ayırarak ziyaretçi yönlendiren verilerini analiz eder. Kullanıcılar şu durumlarda yönlendirilmez:
- Yönlendiren (doğrudan web sitesini ziyaret eden) kimse yok.
- Bot olarak tespit edilir.
- Yöneticiler de dahil olmak üzere oturum açmış WordPress kullanıcılarıdır.
- Sahte Sayfalara Son Yönlendirme : Üç rastgele enfekte site, ziyaretçiyi VexTrio veya LosPollos dolandırıcılık sayfalarına yönlendiren gizli JavaScript yükleyen TDS düğümleri gibi davranır. Bu yönlendirme yalnızca ziyaretçi bir sayfa öğesine tıkladığında gerçekleşir ve bu da tespit edilmesini zorlaştırır.
DollyWay’in Kalıcılığı ve Gizlilik Teknikleri
DollyWay, enfekte olmuş sitelerde kalıcılığını sağlamak için bir dizi teknik geliştirdi. Bir WordPress sitesini tehlikeye attığında, kötü amaçlı yazılım her sayfa yüklemesinde tekrar enfekte olmasını sağlayarak kaldırmayı zorlaştırır. İşte temel taktikleri:
- PHP kodunun aktif eklentilere yayılması.
- WPCode eklentisine (WordPress'in çekirdek dosyalarını değiştirmeden onu değiştirmek için kullanılan üçüncü taraf bir araç) kötü amaçlı kod enjekte etmek.
- WPCode'u eklenti listesinden gizlemek, onu yöneticiler için görünmez hale getirir ve kaldırılmasını daha zor hale getirir.
Ayrıca kötü amaçlı yazılım, yalnızca doğrudan veritabanı incelemesiyle görülebilen rastgele 32 karakterlik onaltılık dizelerle gizli yönetici hesapları oluşturarak saldırganların site üzerinde kontrolü sürdürmesini sağlıyor.
Sonuç: Kalıcı ve Gelişen Bir Tehdit
DollyWay, giderek daha karmaşık taktiklerle gelişmeye devam eden devam eden ve dayanıklı bir kötü amaçlı yazılım kampanyasıdır. Şunları yapabilme yeteneği:
- Siteleri otomatik olarak yeniden enfekte edin
- Gizli betikler ve yönetici hesapları aracılığıyla tespit edilmekten kaçının
- Dolandırıcılıkla ilgili ağlar aracılığıyla yönlendirme trafiğini paraya dönüştürün
…dünya çapındaki WordPress site sahipleri için ciddi bir tehdit haline getirir. Web sitesi yöneticileri enfeksiyon risklerini azaltmak için dikkatli olmalı ve temaları, eklentileri ve güvenlik protokollerini düzenli olarak güncellemelidir.
