DollyWay 惡意軟體活動

惡意軟體年Mezo年

翻譯為：

DollyWay 是一個自 2016 年開始活躍的惡意軟體，已感染了全球超過 20,000 個 WordPress 網站。多年來，這項持續的活動變得越來越複雜，其逃避、重新感染和貨幣化策略不斷改進，對網站安全構成了重大威脅。

最初，DollyWay 傳播勒索軟體和銀行木馬，對網站訪客構成直接威脅。然而，在目前版本（DollyWay v3）中，該惡意軟體已將重點轉移到作為詐騙重定向系統運行，將使用者引導至詐騙網站。

最近的研究表明，DollyWay 是一項更廣泛、更長期的行動的一部分，該行動被稱為「DollyWay 世界統治」。該行動包括多個共享類似代碼、基礎設施和貨幣化策略的活動。該惡意軟體以其程式碼中的字串命名：

DollyWay v3 利用外掛程式和主題中的 n-day 漏洞來攻擊易受攻擊的 WordPress 網站。一旦網站受到攻擊，惡意軟體就會將訪客重新導向到提供虛假約會、賭博、加密貨幣詐騙和抽獎活動的惡意網站。

截至 2025 年 2 月，DollyWay 每月產生超過 1,000 萬次詐欺性展示，將流量引導至透過 VexTrio 和 LosPollos 聯盟獲利的詐騙頁面。此重定向過程透過流量指示系統 (TDS) 進行管理，該系統根據特定特徵過濾使用者。

注入和重定向設定：惡意軟體使用 wp_enqueue_script 將腳本注入網站，從受感染的網站載入第二個不安全的腳本。
流量過濾：第二個腳本分析訪客引薦來源數據，對重定向目標進行分類。如果使用者出現以下情況，則不會被重新導向：
沒有引薦來源（直接造訪該網站的人）。
被檢測為機器人。
是登入的 WordPress 用戶，包括管理員。
最終重定向到詐騙頁面：三個隨機感染的網站充當 TDS 節點，加載隱藏的 JavaScript，將訪客重定向到 VexTrio 或 LosPollos 詐騙頁面。此重定向僅當訪客點擊頁面元素時才會發生，因此更難檢測到。

DollyWay 開發了一系列技術來確保其在受感染網站上的持久性。一旦感染了 WordPress 網站，該惡意軟體就會確保在每次載入頁面時重新感染，使得刪除變得困難。以下是其主要策略：

此外，該惡意軟體還使用隨機的 32 個十六進位字串建立隱藏的管理員帳戶，這些帳戶只有透過直接資料庫檢查才能看到，從而確保攻擊者能夠控制網站。

DollyWay 是一項持續且具彈性的惡意軟體活動，其不斷發展，策略也越來越複雜。它能夠：

……對全球的 WordPress 網站所有者來說，這是一個嚴重的威脅。網站管理員必須保持警惕，定期更新主題、外掛程式和安全協議，以降低感染風險。

搜索