Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại DollyWay Malware Campaign

DollyWay Malware Campaign

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:
Tiếng Việt Nam

DollyWay, một hoạt động phần mềm độc hại hoạt động từ năm 2016, đã xâm phạm hơn 20.000 trang web WordPress trên toàn cầu. Chiến dịch đang diễn ra này đã trở nên tinh vi hơn trong những năm qua, tinh chỉnh các chiến lược trốn tránh, tái nhiễm và kiếm tiền, khiến nó trở thành mối đe dọa đáng kể đối với bảo mật trang web.

Sự phát triển của DollyWay thành một hệ thống chuyển hướng chiến thuật

Ban đầu, DollyWay phân phối ransomware và trojan ngân hàng, gây ra mối đe dọa trực tiếp cho người truy cập trang web. Tuy nhiên, trong phiên bản hiện tại (DollyWay v3), phần mềm độc hại đã chuyển trọng tâm sang hoạt động như một hệ thống chuyển hướng lừa đảo, dẫn người dùng đến các trang web gian lận.

Nghiên cứu gần đây đã tiết lộ rằng DollyWay là một phần của một hoạt động rộng lớn hơn, kéo dài được gọi là 'DollyWay World Domination'. Hoạt động này bao gồm nhiều chiến dịch chia sẻ mã, cơ sở hạ tầng và chiến thuật kiếm tiền tương tự. Phần mềm độc hại được đặt tên theo chuỗi được tìm thấy trong mã của nó:

DollyWay v3 xâm phạm hàng ngàn trang web WordPress như thế nào

DollyWay v3 nhắm vào các trang web WordPress dễ bị tấn công bằng cách khai thác lỗ hổng n-day trong plugin và chủ đề. Khi một trang web bị xâm phạm, phần mềm độc hại sẽ chuyển hướng người truy cập đến các trang web độc hại cung cấp dịch vụ hẹn hò giả, cờ bạc, lừa đảo tiền điện tử và xổ số.

Tính đến tháng 2 năm 2025, DollyWay chịu trách nhiệm tạo ra hơn 10 triệu lượt hiển thị gian lận mỗi tháng, chuyển hướng lưu lượng truy cập đến các trang lừa đảo được kiếm tiền thông qua các mạng lưới liên kết của VexTrio và LosPollos. Quá trình chuyển hướng này được quản lý thông qua Hệ thống định hướng lưu lượng truy cập (TDS) lọc người dùng dựa trên các đặc điểm cụ thể.

Quá trình lây nhiễm ba giai đoạn

  • Thiết lập tiêm và chuyển hướng : Phần mềm độc hại sẽ tiêm một tập lệnh vào trang web bằng wp_enqueue_script, tải một tập lệnh không an toàn thứ hai từ trang web bị xâm phạm.
  • Lọc lưu lượng truy cập : Tập lệnh thứ hai phân tích dữ liệu giới thiệu của khách truy cập, phân loại các mục tiêu chuyển hướng. Người dùng không được chuyển hướng nếu họ:
  • Không có người giới thiệu (người trực tiếp truy cập trang web).
  • Được phát hiện là bot.
  • Là người dùng WordPress đã đăng nhập, bao gồm cả quản trị viên.
  • Chuyển hướng cuối cùng đến các trang lừa đảo : Ba trang web bị nhiễm ngẫu nhiên hoạt động như các nút TDS, tải JavaScript ẩn chuyển hướng khách truy cập đến các trang lừa đảo VexTrio hoặc LosPollos. Chuyển hướng này chỉ xảy ra khi khách truy cập nhấp vào một phần tử trang, khiến việc phát hiện trở nên khó khăn hơn.

Kỹ thuật bền bỉ và bí mật của DollyWay

DollyWay đã phát triển một loạt các kỹ thuật để đảm bảo sự tồn tại của nó trên các trang web bị nhiễm. Khi nó xâm nhập vào một trang web WordPress, phần mềm độc hại đảm bảo nó sẽ lây nhiễm lại với mỗi lần tải trang, khiến việc xóa bỏ trở nên khó khăn. Sau đây là các chiến thuật chính của nó:

  • Phân tán mã PHP trên các plugin đang hoạt động.
  • Chèn mã độc vào plugin WPCode (một công cụ của bên thứ ba được sử dụng để sửa đổi WordPress mà không làm thay đổi các tệp cốt lõi).
  • Việc ẩn WPCode khỏi danh sách plugin sẽ khiến quản trị viên không nhìn thấy plugin này và việc xóa plugin sẽ khó khăn hơn.

Ngoài ra, phần mềm độc hại này còn tạo ra các tài khoản quản trị ẩn với chuỗi ký tự hex 32 ký tự ngẫu nhiên, chỉ có thể nhìn thấy thông qua việc kiểm tra cơ sở dữ liệu trực tiếp, đảm bảo kẻ tấn công vẫn kiểm soát được trang web.

Kết luận: Một mối đe dọa dai dẳng và đang phát triển

DollyWay là một chiến dịch phần mềm độc hại liên tục và có khả năng phục hồi, tiếp tục phát triển với các chiến thuật ngày càng tinh vi. Khả năng của nó là:

  • Tự động tái nhiễm các trang web
  • Tránh bị phát hiện thông qua các tập lệnh ẩn và tài khoản quản trị
  • Kiếm tiền từ lưu lượng chuyển hướng thông qua các mạng liên quan đến gian lận

…làm cho nó trở thành mối đe dọa nghiêm trọng đối với chủ sở hữu trang web WordPress trên toàn thế giới. Người quản trị trang web phải luôn cảnh giác và cập nhật chủ đề, plugin và giao thức bảo mật thường xuyên để giảm thiểu rủi ro bị nhiễm.

xu hướng

Hoạt động của Botnet BADBOX 2

Mạng botnet
Các nhà nghiên cứu về tình báo mối đe dọa đã xác định được một trong những mạng botnet lớn nhất từng được phát hiện, lây nhiễm hơn một triệu thiết bị Android bằng một cửa hậu. Phát hiện này diễn ra sau các báo cáo về nhiều lỗ hổng bảo mật trong Google Chrome, cảnh báo từ YouTube về các chiến thuật đánh cắp thông tin xác thực và xác nhận các cuộc tấn công zero-day nhắm vào điện thoại thông minh...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
27,274
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...