Çince dil kumar platformlarını tanıtmak için kötü amaçlı JavaScript enjekte ile meşru web sitelerine sızan devam eden bir kampanya, bugüne kadar yaklaşık 150.000 siteyi tehlikeye atmak için balonlu.
C/yan güvenlik analisti Himanshu Anand, yeni bir analizde, “Tehdit oyuncusu arayüzlerini biraz yeniledi, ancak ziyaretçinin tarayıcısında tam ekran bir kaplama göstermek için hala bir IFrame enjeksiyonuna güveniyor.” Dedi.
Yazma itibariyle, JavaScript yükünü içeren 135.800’den fazla site vardır.
Geçen ay web sitesi güvenlik şirketi tarafından belgelendiği gibi, kampanya, siteleri ziyaretçileri kumar platformlarını tanıtan sayfalara yönlendirmek için kullanıcının tarayıcı penceresini ele geçirmek üzere tasarlanmış kötü amaçlı JavaScript ile enfekte etmeyi içeriyor.
Yeniden yönlendirmenin beş farklı alanda barındırılan JavaScript aracılığıyla gerçekleştiği bulunmuştur (örn., “Zuizhongyj[.]com “) bu da, yönlendirmelerin gerçekleştirilmesinden sorumlu ana yükü sunar.
C/Side, kampanyanın HTML’de resmi logolar ve markalaşma kullanarak BET365 gibi meşru bahis web sitelerini taklit etmeyi enjekte etmeyi gerektiren kampanyanın başka bir varyantını da gözlemlediğini söyledi.
Nihai hedef, gerçek web içeriğinin yerine enfekte olmuş sitelerden birini ziyaret ederken kötü niyetli kumar açılış sayfasının görüntülenmesine neden olan CSS kullanarak tam ekran bir kaplama sunmaktır.
Anand, “Bu saldırı, tehdit aktörlerinin sürekli olarak nasıl uyum sağladığını, erişimini artırdığını ve yeni gizleme katmanlarını kullanmayı gösteriyor.” Dedi. “Her gün gittikçe daha fazla bulgu ile bu gibi müşteri tarafı saldırıları artıyor.”
Açıklama, Godaddy’nin 2016 yılından bu yana 20.000’den fazla web sitesini tehlikeye atan Dollyway dünya hakimiyeti olarak adlandırılan uzun süredir devam eden bir kötü amaçlı yazılım operasyonunun ayrıntılarını açıkladığı gibi geliyor. Şubat 2025 itibariyle 10.000’den fazla benzersiz WordPress sitesi plana kurban etti.
“Mevcut yineleme […] Güvenlik araştırmacısı Denis Sinegubko, öncelikle enfekte WordPress siteleri ziyaretçilerini, tehlikeye atılan web sitelerinde barındırılan dağıtılmış bir trafik yön sistemi (TDS) düğümünü kullanan enjekte edilmiş yönlendirme komut dosyaları aracılığıyla hedefliyor. “Dedi.
“Bu komut dosyaları, küresel ağlarda kötü amaçlı yazılım ve dolandırıcılık sunmak için sofistike DNS tekniklerini, trafik dağıtım sistemlerini ve alan üretim algoritmalarından yararlanan bilinen en büyük siber suçlu satış ortağı ağlarından biri olan Vextrio ile ilişkili trafik komisyoncusu ağları aracılığıyla çeşitli aldatmaca sayfalarına yönlendiriyor.”
Saldırılar, WordPress sitesine dinamik olarak oluşturulan bir komut dosyası enjekte etmekle başlar ve sonuçta ziyaretçileri Vextrio veya Lospolos bağlantılarına yönlendirir. Etkinliğin ayrıca, tehlikeye atılan sitelerden gelen trafiği para kazanmak için propellerAds gibi reklam ağlarını kullandığı söylenir.
Sunucu tarafındaki kötü niyetli enjeksiyonlar, etkin eklentilere eklenen PHP kodu aracılığıyla kolaylaştırılırken, güvenlik eklentilerini devre dışı bırakmak, kötü amaçlı yönetici kullanıcılarını silmek ve hedeflerini karşılamak için meşru yönetici kimlik bilgilerini sifonlamak için adımlar atar.
Godaddy, o zamandan beri Dollyway TDS’nin, TDS ve komut ve kontrol (C2) düğümleri olarak dağıtılmış bir uzlaşmacı WordPress ağından yararlandığını ve aylık 9-10 milyon sayfa izlenimine ulaştığını açıkladı. Ayrıca, Vextrio yönlendirme URL’lerinin LOSPOLOS Trafik Broker Ağı’ndan elde edildiği bulunmuştur.
Kasım 2024 civarında, Dollyway operatörlerinin C2/TDS sunucularının birçoğunu sildikleri söyleniyor ve TDS komut dosyası TrafficRedIrect adlı bir telgraf kanalından yönlendirme URL’lerini elde ediyor.
Sinegubko, “Dollyway’in Lospollos ile ilişkisinin bozulması, bu uzun süredir devam eden kampanyada önemli bir dönüm noktasına işaret ediyor.” “Operatörler, alternatif trafik para kazanma yöntemlerine hızla geçerek dikkate değer bir uyum göstermiş olsa da, hızlı altyapı değişiklikleri ve kısmi kesintiler bir miktar operasyonel etki gösteriyor.”