2016’dan bu yana, “Dollyway World Dainination” kampanyası, dünya çapında 20.000’den fazla WordPress web sitesini sessizce tehlikeye atarak, ziyaretçileri kötü niyetli hedeflere yönlendirmek için eklentiler ve temalardaki güvenlik açıklarından yararlandı.
İşlemin adı, enfekte olmuş sitelerde bulunan bir Telltale kod dizesinden gelir:
phpdefine('DOLLY_WAY', 'World Domination');
Dollyway’in enfeksiyon zinciri son derece sofistike, tespit etmek ve kalıcılığı sağlamak için dört aşamalı bir JavaScript ve PHP enjeksiyon süreci kullanıyor.
.png
)
İlk uzlaşma tipik olarak savunmasız eklentiler veya temalar yoluyla gerçekleşir.
Saldırganlar WordPress kullanarak bir senaryo enjekte wp_enqueue_script
işlev:
phpwp_enqueue_script('jquery');
wp_enqueue_script('dollyway', '/?&ver=" id="-js">');
Bu komut dosyası, enfeksiyonları izlemeye ve yönetmeye yardımcı olan benzersiz bir onaltılık tanımlayıcı (genellikle bir MD5 karma) içeren dinamik olarak oluşturulan bir yük yükler.
Bir sonraki aşama, yönlendirici verileri toplar ve botları ve oturum açmış kullanıcıları filtreler ve yalnızca gerçek ziyaretçilerin hedeflenmesini sağlar.
Son yük, genellikle bir yoldan yüklendi /wp-content/counts.php?cat=&t=
kullanıcıları trafik yön sistemi (TDS) düğümleri ağı aracılığıyla yeniden yönlendirir ve sonuçta bunları dolandırıcılık sitelerine götürür.
Tablo 1: Dollyway enfeksiyon zinciri aşamaları
Sahne | Teknik detay | Amaç |
---|---|---|
Aşama 1 | Aracılığıyla enjeksiyon wp_enqueue_script benzersiz altıgen kimliğiyle | İlk dayanak, statik analizden kaçınır |
Aşama 2 | Dinamik komut dosyası yükleri, yönlendirici/kullanıcı ajanı filtreleme | Verileri toplar, botları/yöneticileri filtreler |
Aşama 3 | TDS Düğüm Seçimi, Gizli JavaScript Yeniden Yönlendirme | Aldatmaca/ortaklık sitelerine yönlendirmeler |
Aşama 4 | Eklentilerde ve WPCode Snippets’te kalıcı PHP/JS kodu | Yeniden enfeksiyonu sağlar, güvenliği devre dışı bırakır |
Dollyway’in kalıcılığı müthiş.
Kötü amaçlı PHP kodu, her aktif eklenti ve WPCode snippet’ine enjekte edilir, kod her sayfa yükünde gizlenmiş ve randomize edilir.
Popüler güvenlik eklentilerini devre dışı bırakır, varlığını gizler ve herhangi bir iz kalırsa siteleri otomatik olarak yeniden canlandırır.
Bağlı kuruluş ağları ve trafik aracılaştırması
Dollyway’in birincil hedefi trafik yönlendirme yoluyla para kazanma.
Kötü amaçlı yazılım, her başarılı yeniden yönlendirme için ödeme sağlayarak, yönlendirme parametrelerini yönlendirme parametrelerini yönlendirir.
Operasyon iki büyük ortaklık ağından yararlanır:
- Vextrio: “Siber Stron of uber” olarak adlandırılan Vextrio, aldatmaca içeriği, casus yazılım ve kötü amaçlı yazılım için bir broker görevi görür, kullanıcıları hileli sitelere profil özelliklerine (coğrafi konum, cihaz, vb.) Yönlendirir.
- 60’tan fazla bağlı kuruluşla ortaklık yapan ve 70.000’den fazla alanı yöneten büyük bir TDS altyapısı işletiyor.
- Kirletmeler: Bu ağ, hem aldatmaca hem de meşru hizmetlere trafik satma konusunda uzmanlaşmıştır. Dollyway’in yönlendirmeleri genellikle bir Lospollos bağlı kimliği içerir, bazen kullanıcıları Tinder veya Tiktok gibi gerçek uygulama listelerine yönlendirir.
Aşağıdaki tablo, bağlı kuruluş para akışını özetlemektedir:
Ağ | Rol | Örnek yönlendirmeler | Gelir modeli |
---|---|---|---|
Vextrio | Scam Trafik Komisyoncusu, TDS Operatörü | Flört dolandırıcılık, sahte çekilişler | Rekorlu Ücretli Ödeme |
Anketler | Trafik satıcısı, reklam ağı | Uygulama mağazaları, ana akım siteler | İştirak komisyonları |
Gizli, kalıcılık ve savunma:
Dollyway’in gizli yetenekleri uzun ömürlüdür. Kötü Yazılım:
- Her etkin eklenti ve WPCode snippet’ine kod enjekte eder, her sayfa yükünde yeniden taklit eder ve yeniden yapılandırır.
- Özel kontrolü korumak için rakip kötü amaçlı yazılım ve güvenlik eklentilerini devre dışı bırakır veya kaldırır.
- Gizli yönetici hesapları oluşturur ve gizli dosyalara giriş form girişlerini günlüğe kaydederek meşru yönetici kimlik bilgileri oluşturur.
- WordPress’i güncellemek, bileşenleri yüklemek ve rakip kötü amaçlı yazılımları engellemek için bakım komut dosyalarını ve web kabuklarını kullanır.
Dollyway hem kodunu hem de yönetici hesaplarını WordPress kontrol panelinden gizlediğinden algılama zordur.
Çıkarma ancak enfekte olmuş tüm eklentiler ve snippet’ler aynı anda temizlenirse ve yeniden enfeksiyonu önlemek için site çevrimdışı olarak alınırsa etkilidir.
Önerilen Savunma Adımları:
- Siteyi geçici olarak çevrimdışı alın veya temizleme sırasında tüm eklentileri devre dışı bırakın.
- Şüpheli eklentileri ve gizli yönetici hesaplarını kaldırın.
- Tüm kullanıcı şifrelerini değiştirin ve iki faktörlü kimlik doğrulamasını etkinleştirin.
- Uzlaşma belirtileri için dosya oluşturma/silme olaylarını izleyin.
- Şirket içi kaynaklar yetersizse üçüncü taraf olay tepkisini meşgul edin.
Dollyway’in sekiz yıllık kampanyası, güvensiz WordPress eklentileri ve temaları tarafından ortaya çıkan kalıcı riskin altını çiziyor.
Gelişmiş kaçma, otomatik yeniden enfeksiyon ve kazançlı bağlı kuruluş ortaklıkları ile Dollyway, küresel web sitesi ekosistemine büyük bir tehdit olmaya devam ediyor.
Düzenli güvenlik denetimleri, hızlı yama ve uyanık izleme savunma için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!.