Dollyway Dünya Hakimiyeti Saldırısı 20.000’den fazla siteyi tehlikeye atıyor


2016’dan bu yana, “Dollyway World Dainination” kampanyası, dünya çapında 20.000’den fazla WordPress web sitesini sessizce tehlikeye atarak, ziyaretçileri kötü niyetli hedeflere yönlendirmek için eklentiler ve temalardaki güvenlik açıklarından yararlandı.

İşlemin adı, enfekte olmuş sitelerde bulunan bir Telltale kod dizesinden gelir:

phpdefine('DOLLY_WAY', 'World Domination');

Dollyway’in enfeksiyon zinciri son derece sofistike, tespit etmek ve kalıcılığı sağlamak için dört aşamalı bir JavaScript ve PHP enjeksiyon süreci kullanıyor.

– Reklamcılık –
Google Haberleri

İlk uzlaşma tipik olarak savunmasız eklentiler veya temalar yoluyla gerçekleşir.

Saldırganlar WordPress kullanarak bir senaryo enjekte wp_enqueue_script işlev:

phpwp_enqueue_script('jquery');
wp_enqueue_script('dollyway', '/?&ver=" id="-js">');

Bu komut dosyası, enfeksiyonları izlemeye ve yönetmeye yardımcı olan benzersiz bir onaltılık tanımlayıcı (genellikle bir MD5 karma) içeren dinamik olarak oluşturulan bir yük yükler.

Bir sonraki aşama, yönlendirici verileri toplar ve botları ve oturum açmış kullanıcıları filtreler ve yalnızca gerçek ziyaretçilerin hedeflenmesini sağlar.

Son yük, genellikle bir yoldan yüklendi /wp-content/counts.php?cat=&t=kullanıcıları trafik yön sistemi (TDS) düğümleri ağı aracılığıyla yeniden yönlendirir ve sonuçta bunları dolandırıcılık sitelerine götürür.

Tablo 1: Dollyway enfeksiyon zinciri aşamaları

SahneTeknik detayAmaç
Aşama 1Aracılığıyla enjeksiyon wp_enqueue_script benzersiz altıgen kimliğiyleİlk dayanak, statik analizden kaçınır
Aşama 2Dinamik komut dosyası yükleri, yönlendirici/kullanıcı ajanı filtrelemeVerileri toplar, botları/yöneticileri filtreler
Aşama 3TDS Düğüm Seçimi, Gizli JavaScript Yeniden YönlendirmeAldatmaca/ortaklık sitelerine yönlendirmeler
Aşama 4Eklentilerde ve WPCode Snippets’te kalıcı PHP/JS koduYeniden enfeksiyonu sağlar, güvenliği devre dışı bırakır

Dollyway’in kalıcılığı müthiş.

Kötü amaçlı PHP kodu, her aktif eklenti ve WPCode snippet’ine enjekte edilir, kod her sayfa yükünde gizlenmiş ve randomize edilir.

Popüler güvenlik eklentilerini devre dışı bırakır, varlığını gizler ve herhangi bir iz kalırsa siteleri otomatik olarak yeniden canlandırır.

Bağlı kuruluş ağları ve trafik aracılaştırması

Dollyway’in birincil hedefi trafik yönlendirme yoluyla para kazanma.

Kötü amaçlı yazılım, her başarılı yeniden yönlendirme için ödeme sağlayarak, yönlendirme parametrelerini yönlendirme parametrelerini yönlendirir.

Operasyon iki büyük ortaklık ağından yararlanır:

  • Vextrio: “Siber Stron of uber” olarak adlandırılan Vextrio, aldatmaca içeriği, casus yazılım ve kötü amaçlı yazılım için bir broker görevi görür, kullanıcıları hileli sitelere profil özelliklerine (coğrafi konum, cihaz, vb.) Yönlendirir.
  • 60’tan fazla bağlı kuruluşla ortaklık yapan ve 70.000’den fazla alanı yöneten büyük bir TDS altyapısı işletiyor.
  • Kirletmeler: Bu ağ, hem aldatmaca hem de meşru hizmetlere trafik satma konusunda uzmanlaşmıştır. Dollyway’in yönlendirmeleri genellikle bir Lospollos bağlı kimliği içerir, bazen kullanıcıları Tinder veya Tiktok gibi gerçek uygulama listelerine yönlendirir.

Aşağıdaki tablo, bağlı kuruluş para akışını özetlemektedir:

RolÖrnek yönlendirmelerGelir modeli
VextrioScam Trafik Komisyoncusu, TDS OperatörüFlört dolandırıcılık, sahte çekilişlerRekorlu Ücretli Ödeme
AnketlerTrafik satıcısı, reklam ağıUygulama mağazaları, ana akım sitelerİştirak komisyonları

Gizli, kalıcılık ve savunma:

Dollyway’in gizli yetenekleri uzun ömürlüdür. Kötü Yazılım:

  • Her etkin eklenti ve WPCode snippet’ine kod enjekte eder, her sayfa yükünde yeniden taklit eder ve yeniden yapılandırır.
  • Özel kontrolü korumak için rakip kötü amaçlı yazılım ve güvenlik eklentilerini devre dışı bırakır veya kaldırır.
  • Gizli yönetici hesapları oluşturur ve gizli dosyalara giriş form girişlerini günlüğe kaydederek meşru yönetici kimlik bilgileri oluşturur.
  • WordPress’i güncellemek, bileşenleri yüklemek ve rakip kötü amaçlı yazılımları engellemek için bakım komut dosyalarını ve web kabuklarını kullanır.

Dollyway hem kodunu hem de yönetici hesaplarını WordPress kontrol panelinden gizlediğinden algılama zordur.

Çıkarma ancak enfekte olmuş tüm eklentiler ve snippet’ler aynı anda temizlenirse ve yeniden enfeksiyonu önlemek için site çevrimdışı olarak alınırsa etkilidir.

Önerilen Savunma Adımları:

  • Siteyi geçici olarak çevrimdışı alın veya temizleme sırasında tüm eklentileri devre dışı bırakın.
  • Şüpheli eklentileri ve gizli yönetici hesaplarını kaldırın.
  • Tüm kullanıcı şifrelerini değiştirin ve iki faktörlü kimlik doğrulamasını etkinleştirin.
  • Uzlaşma belirtileri için dosya oluşturma/silme olaylarını izleyin.
  • Şirket içi kaynaklar yetersizse üçüncü taraf olay tepkisini meşgul edin.

Dollyway’in sekiz yıllık kampanyası, güvensiz WordPress eklentileri ve temaları tarafından ortaya çıkan kalıcı riskin altını çiziyor.

Gelişmiş kaçma, otomatik yeniden enfeksiyon ve kazançlı bağlı kuruluş ortaklıkları ile Dollyway, küresel web sitesi ekosistemine büyük bir tehdit olmaya devam ediyor.

Düzenli güvenlik denetimleri, hızlı yama ve uyanık izleme savunma için gereklidir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!.



Source link