Кампанія DollyWay щодо шкідливих програм
DollyWay, зловмисне програмне забезпечення, що діє з 2016 року, скомпрометувало понад 20 000 сайтів WordPress у всьому світі. З роками ця триваюча кампанія ставала складнішою, удосконалюючи стратегії уникнення, повторного зараження та монетизації, що робить її значною загрозою для безпеки сайту.
Зміст
Еволюція DollyWay до тактичної системи перенаправлення
Спочатку DollyWay поширювала програмне забезпечення-вимагач і банківські трояни, створюючи пряму загрозу відвідувачам сайту. Однак у своїй поточній версії (DollyWay v3) зловмисне програмне забезпечення перейшло в роботу як система перенаправлення шахраїв, спрямовуючи користувачів на шахрайські сайти.
Нещодавні дослідження показали, що DollyWay є частиною масштабнішої довготривалої операції, відомої як «Домінування світу DollyWay». Операція включає кілька кампаній, які мають подібний код, інфраструктуру та тактику монетизації. Зловмисне програмне забезпечення названо за рядком, знайденим у його коді:
Як DollyWay v3 компрометує тисячі сайтів WordPress
DollyWay v3 націлено на вразливі сайти WordPress, використовуючи n-денні недоліки в плагінах і темах. Після того, як сайт зламано, зловмисне програмне забезпечення перенаправляє відвідувачів на шкідливі сайти, які пропонують фальшиві знайомства, азартні ігри, шахрайство з криптовалютою та тоталізатори.
Станом на лютий 2025 року DollyWay відповідає за створення понад 10 мільйонів шахрайських показів на місяць, спрямовуючи трафік на шахрайські сторінки, які монетизуються через афілійовані мережі VexTrio та LosPollos. Цим процесом перенаправлення керує система спрямування трафіку (TDS), яка фільтрує користувачів на основі конкретних характеристик.
Тристадійний процес інфікування
- Ін’єкція та налаштування перенаправлення : зловмисне програмне забезпечення впроваджує сценарій на сайт за допомогою wp_enqueue_script, завантажуючи другий небезпечний сценарій із скомпрометованого сайту.
- Фільтрування трафіку : другий сценарій аналізує дані про відвідувачів, класифікуючи цілі переспрямування. Користувачі не перенаправляються, якщо вони:
- Немає реферера (який безпосередньо відвідав веб-сайт).
- Виявляються як боти.
- Є авторизованими користувачами WordPress, включаючи адміністраторів.
- Остаточне переспрямування на шахрайські сторінки : три випадково заражені сайти діють як вузли TDS, завантажуючи прихований JavaScript, який перенаправляє відвідувача на шахрайські сторінки VexTrio або LosPollos. Це переспрямування відбувається лише тоді, коли відвідувач натискає елемент сторінки, що ускладнює його виявлення.
Техніки наполегливості та скритності DollyWay
DollyWay розробила низку методів, щоб забезпечити його стійкість на заражених сайтах. Якщо зловмисне програмне забезпечення зламало сайт WordPress, воно повторно заражає його під час кожного завантаження сторінки, що ускладнює видалення. Ось його ключові тактики:
- Поширення коду PHP між активними плагінами.
- Впровадження шкідливого коду в плагін WPCode (інструмент третьої сторони, який використовується для модифікації WordPress без зміни основних файлів).
- Приховування WPCode у списку плагінів робить його невидимим для адміністраторів, і видалення стає складнішим.
Крім того, зловмисне програмне забезпечення створює приховані облікові записи адміністраторів із випадковими 32-символьними шістнадцятковими рядками, які видно лише під час прямої перевірки бази даних, забезпечуючи зловмисникам контроль над сайтом.
Висновок: постійна загроза, що розвивається
DollyWay — це безперервна та стійка кампанія зловмисного програмного забезпечення, яка продовжує розвиватися за допомогою все більш витонченої тактики. Його здатність:
- Повторне зараження сайтів автоматично
- Уникайте виявлення через приховані сценарії та облікові записи адміністратора
- Монетизуйте трафік перенаправлення через мережі, пов’язані з шахрайством
… робить це серйозною загрозою для власників сайтів WordPress у всьому світі. Адміністратори веб-сайтів повинні залишатися пильними та регулярно оновлювати теми, плагіни та протоколи безпеки, щоб зменшити ризик зараження.
