تجري عملية برامج ضارة يطلق عليها “Dollyway” منذ عام 2016 ، مما أدى إلى تجسس أكثر من 20.000 موقع WordPress على مستوى العالم لإعادة توجيه المستخدمين إلى مواقع ضارة.
تطورت الحملة بشكل كبير في السنوات الثماني الماضية ، واستفادت من الاستراتيجيات المتقدمة ، وإعادة العدوى ، واستراتيجيات الدخل.
وفقًا لباحث Godaddy Denis Sinegubko ، تعمل Dollyway كنظام إعادة توجيه احتيال واسع النطاق في أحدث إصدار له (V3). ومع ذلك ، في الماضي ، قامت بتوزيع حمولات ضارة أكثر مثل فدية وأحصنة طروادة المصرفية.
“GoDaddy Security researchers have uncovered evidence linking multiple malware campaigns into a single, long-running operation we’ve named ‘DollyWay World Domination’,” يشرح حديثًا”https://www.godaddy.com/resources/news/dollyway-world-domination” الهدف=”_blank” rel=”nofollow noopener”> تقرير جوداد.
“على الرغم من أنه كان يعتقد سابقًا حملات منفصلة ، إلا أن أبحاثنا تكشف عن أن هذه الهجمات تشترك في البنية التحتية المشتركة وأنماط الكود وطرق الدخل – والتي يبدو أنها مرتبطة بممثل تهديد واحد متطور.
“The operation was named after the following tell-tale string, which is found in some variations of the malware: define(‘DOLLY_WAY’, ‘World Domination’).”
الآلاف من الالتهابات الخفي
Dollyway V3 هي عملية إعادة توجيه متقدمة تستهدف مواقع WordPress الضعيفة باستخدام عيوب N-Day على المكونات الإضافية والموضوعات لتسويةها.
اعتبارًا من فبراير 2025 ، يولد Dollyway 10 ملايين انطباعات احتيالية شهريًا من خلال إعادة توجيه زوار موقع WordPress إلى مواقع المواعدة المزيفة ، والمقامرة ، والتشفير ، ومواقع اليانصيب.
المصدر: Godaddy
يتم تسييل الحملة من خلال الشبكات التابعة لـ Vextrio و Lospollos بعد تصفية الزوار من خلال نظام اتجاه حركة المرور (TDS).
يقوم نظام توزيع حركة المرور بتحليل حركة الويب وإعادة توجيهها استنادًا إلى جوانب مختلفة من الزائر ، مثل موقعه ونوع الجهاز والمرجع. عادةً ما تستخدم مجرمي الإنترنت أنظمة TDS الضارة لإعادة توجيه المستخدمين إلى مواقع التصيد أو تنزيلات البرامج الضارة.
يتم اختراق المواقع الإلكترونية من خلال حقن البرنامج النصي مع “wp_enqueue_script” ، الذي يقوم بتحميل البرنامج النصي الثاني من الموقع للخطر.
تقوم المرحلة الثانية بجمع بيانات إحالة الزوار للمساعدة في تصنيف حركة مرور إعادة التوجيه ثم يقوم بتحميل البرنامج النصي TDS الذي يقرر صحة الأهداف.
زوار الموقع المباشرون الذين ليس لديهم إحالة ، ليسوا روبوتات (يحتوي البرنامج النصي على قائمة متشددين تضم 102 من مستخدمي BOT المعروفة) ، ولا يتم تسجيلهم في WordPress (بما في ذلك المشرفين) يعتبرون غير صالحين ولا يتم إعادة توجيههم.
تختار المرحلة الثالثة ثلاثة مواقع مصابة عشوائية لتكون بمثابة عقد TDS ثم يتم تحميل JavaScript المخبأة من أحدها لإجراء إعادة التوجيه النهائي إلى صفحات الاحتيال في Vextrio أو Lospollos.
المصدر: Godaddy
تستخدم البرامج الضارة معلمات التتبع التابعة لضمان دفع المهاجمين مقابل كل إعادة توجيه.
تجدر الإشارة إلى أن إعادة التوجيه النهائي تحدث فقط عندما يتفاعل الزائر مع عنصر الصفحة (النقرات) ، مما يتهرب من أدوات المسح السلبي التي تفحص فقط تحميل الصفحة.
إعادة الانتعاش التلقائي يضمن الثبات
يوضح Sinegubko أن Dollyway يمثل تهديدًا مستمرًا للغاية يعيد تلقائيًا إلى موقع مع كل تحميل صفحة ، لذا فإن إزالته أمرًا صعبًا بشكل خاص.
إنه يحقق ذلك عن طريق نشر رمز PHP الخاص به عبر جميع المكونات الإضافية النشطة ويضيف أيضًا نسخة من المكون الإضافي WPCode (إن لم يكن مثبتًا بالفعل) يحتوي على مقتطفات برامج خبيثة محفوظة.
WPCODE هو مكون إضافي لجهة خارجية يسمح للمسؤولين بإضافة قصاصات صغيرة من “code” التي تعدل وظيفة WordPress دون تحرير ملفات السمة مباشرة أو رمز WordPress.
المصدر: Godaddy
كجزء من الهجوم ، يخفي المتسللون WPCode من قائمة WordPress Plugin حتى لا يتمكن المسؤولون من رؤية أو حذفه ، مما يجعل التطهير معقدًا.
يقوم Dollyway أيضًا بإنشاء مستخدمين للمسؤولين الذين سميت باسم سلاسل عشوائية عشوائية 32 حرفًا ويبقي تلك الحسابات مخفية في لوحة المسؤول. فهي مرئية فقط من خلال فحص قاعدة البيانات المباشر.
شارك Godaddy القائمة الكاملة لمؤشرات التسوية (IOCs) المرتبطة بـ Dollyway للمساعدة في الدفاع ضد هذا التهديد.
ستنشر المزيد من التفاصيل حول البنية التحتية للعملية وتكتيكات التحويل في منشور متابعة.