DollyWay World Domination
A 2016 óta aktív kiberkampány több mint 20 000 WordPress-alapú weboldalt fertőzött meg világszerte. A támadók sebezhető bővítményeket és témákat kihasználva jutottak be az oldalakba, majd többfázisú JavaScript és PHP injekcióval irányították át a látogatókat különféle csaló oldalakra, például hamis társkereső, kriptovaluta, szerencsejáték és nyereményjáték oldalakra.
A kampány különösen kifinomult technikákat alkalmazott a fertőzések elrejtésére és fenntartására. A támadók kriptográfiailag aláírt adatátvitelt, heterogén injekciós módszereket és automatikus újrafertőzési mechanizmusokat használtak, amelyek minden oldalbetöltéskor újraaktiválták a rosszindulatú kódot, ha az nem lett teljesen eltávolítva. Emellett a malware eltávolította a versengő kártékony kódokat és frissítette a WordPress rendszert, hogy megőrizze az irányítást az érintett oldalak felett.
A kampány monetizációja az olyan affiliate hálózatokon keresztül történt, mint a VexTrio és a LosPollos, amelyek lehetővé tették a támadók számára, hogy nyomon kövessék és jutalékot kapjanak az átirányított forgalom után. A VexTrio, amelyet a kiberbűnözés Uberének is neveznek, elsősorban csaló tartalmak, kémprogramok és más rosszindulatú szoftverek terjesztésére szolgál.
A DollyWay kampány evolúciója során több különálló kampányt is magában foglalt, mint például a Master134, a Fake Browser Updates és a CountsTDS, amelyek mindegyike közös infrastruktúrát, kódbázist és monetizációs módszereket használt. A legújabb, DollyWay v3 néven ismert változat különösen fejlett, többek között kriptográfiailag aláírt adatátvitelt és automatikus újrafertőzési mechanizmusokat alkalmaz.
A WordPress-alapú weboldalak sebezhetőségei komoly kockázatot jelentenek, és hangsúlyozza a rendszeres frissítések, a biztonsági bővítmények használata és a weboldalak folyamatos monitorozásának fontosságát a hasonló támadások megelőzése érdekében.
