DollyWay 恶意软件活动

通过Mezo在恶意软件

翻译为：

DollyWay 是一个自 2016 年以来一直活跃的恶意软件组织，已入侵全球超过 20,000 个 WordPress 网站。多年来，这一持续不断的攻击活动变得越来越复杂，其逃避攻击、重新感染和货币化策略也日趋完善，对网站安全构成了重大威胁。

最初，DollyWay 传播勒索软件和银行木马，对网站访问者构成直接威胁。然而，在最新版本（DollyWay v3）中，该恶意软件已将重点转移到诈骗重定向系统，将用户引导至欺诈网站。

最近的研究表明，DollyWay 是一个规模更大、持续时间更长的行动的一部分，该行动被称为“DollyWay World Domination”。该行动包括多个共享类似代码、基础设施和货币化策略的活动。该恶意软件以其代码中的字符串命名：

DollyWay v3 利用插件和主题中的 n-day 漏洞来攻击易受攻击的 WordPress 网站。一旦网站受到攻击，恶意软件就会将访问者重定向到提供虚假约会、赌博、加密货币诈骗和抽奖活动的恶意网站。

截至 2025 年 2 月，DollyWay 每月产生超过 1000 万次欺诈性展示，将流量引导至通过 VexTrio 和 LosPollos 联属网络获利的诈骗页面。此重定向过程通过流量定向系统 (TDS) 进行管理，该系统根据特定特征过滤用户。

注入和重定向设置：恶意软件使用 wp_enqueue_script 将脚本注入网站，从受感染的网站加载第二个不安全的脚本。
流量过滤：第二个脚本分析访客引荐来源数据，对重定向目标进行分类。如果用户出现以下情况，则不会被重定向：
没有引荐来源（直接访问该网站的人）。
被检测为机器人。
是登录的 WordPress 用户，包括管理员。
最终重定向至欺诈页面：三个随机感染的网站充当 TDS 节点，加载隐藏的 JavaScript，将访问者重定向至 VexTrio 或 LosPollos 欺诈页面。此重定向仅在访问者点击页面元素时发生，因此更难检测。

DollyWay 开发了一系列技术来确保其在受感染网站上的持久性。一旦它入侵了 WordPress 网站，该恶意软件就会确保它在每次页面加载时重新感染，这使得删除变得困难。以下是它的主要策略：

此外，该恶意软件还使用随机的 32 个十六进制字符串创建隐藏的管理员帐户，这些帐户只有通过直接数据库检查才能看到，从而确保攻击者能够控制网站。

DollyWay 是一个持续且有弹性的恶意软件活动，其策略也越来越复杂。它能够：

…对全球 WordPress 网站所有者来说是一个严重威胁。网站管理员必须保持警惕，并定期更新主题、插件和安全协议，以降低感染风险。

搜索