“Dollyway” olarak adlandırılan önemli bir kötü amaçlı yazılım operasyonu, GodAddy güvenlik araştırmacıları tarafından ortaya çıkarıldı ve küresel olarak 20.000’den fazla WordPress sitesini tehlikeye atan sofistike bir kampanyayı ortaya çıkardı.
2016 yılında başlayan bu işlem, Trafik Yön Sistemi (TDS) ve Komut ve Kontrol (C2) düğümleri olarak dağıtılmış bir WordPress sitesi ağından yararlanır.
Kötü amaçlı yazılımın en son yinelemesi Dollyway V3, enfekte olmuş alanlar üzerinde kontrolü korumak için kriptografik olarak imzalanmış veri transferleri, heterojen enjeksiyon yöntemleri ve otomatik yeniden enfeksiyon mekanizmaları gibi gelişmiş teknikler kullanır.
Sofistike kötü amaçlı yazılım teknikleri
Dollyway V3 öncelikle, büyük bir siber suçlu ortaklık ağı olan Vextrio aracılığıyla trafiği huni yapan yönlendirme komut dosyaları enjekte ederek enfekte olmuş WordPress siteleri ziyaretçilerini hedefler.
Kötü amaçlı yazılım, tespitten kaçınmak için dört aşamalı bir enjeksiyon zinciri kullanır.
Başlangıçta, sitenin ana URL’sine dinamik olarak oluşturulmuş bir komut dosyası ekler, bu da daha sonra yönlendirici bilgileri toplayan ve sonunda kullanıcıları sayfaları dolandırmaya yönlendiren sonraki komut dosyalarını yükler.
Kötü amaçlı yazılım ayrıca rakip kötü amaçlı yazılımları kaldırır ve kalıcılığını sağlamak için WordPress’i günceller.
Yeniden enfeksiyon mekanizması özellikle karmaşıktır, kötü amaçlı PHP kodunun aktif eklentilere ve WPCode snippet’lerine enjeksiyonunu içerir.
Rapora göre, bu kod algılamadan kaçınmak için düzenli olarak yeniden gözlemlenir ve bu da kaldırmayı zorlaştırır.
Ayrıca, kötü amaçlı yazılım, rastgele onaltılık kullanıcı adları ve e -posta adreslerine sahip kötü amaçlı yönetici kullanıcıları oluşturur ve temizleme çabalarını daha da karmaşıklaştırır.
Komuta ve kontrol altyapısı
Dollyway altyapısını kodlanmış WordPress seçenekleri aracılığıyla korur ve ayarları sofistike bir formatta saklar.
Kötü amaçlı yazılım, veri bütünlüğünü doğrulamak için kriptografik imzalar kullanarak düğüm listesini günlük olarak günceller.
Bu, yalnızca yetkili güncellemelerin uygulanmasını sağlar ve kötü amaçlı yazılımların uzlaşılmış siteler üzerindeki kontrolünü korur.
Geri ihlal edilen WordPress sitelerinin C2/TDS düğümleri olarak kullanılması, kötü amaçlı yazılımların uyarlanmasına ve gelişmesine izin vererek siber güvenlik manzarasında zorlu bir tehdit haline getirir.
Dollyway’in devam eden evrimi, kötü amaçlı yazılım kampanyalarının artan karmaşıklığını ve bu tür tehditlere karşı korunmak için güçlü güvenlik önlemlerine ihtiyaç duyulmasını vurgulamaktadır.
Kampanya uyum sağlamaya devam ettikçe, WordPress site sahipleri ve siber güvenlik profesyonelleri için önemli bir endişe olmaya devam ediyor.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin