Otkriće Dulje Trajajuće Zlonamjenske Kampanje Koja Infektira WordPress Web Stranice
Stručnjaci su otkrili dugotrajnu i izuzetno upornu zlonamjernu kampanju koja je pogodila više od 20.000 WordPress web stranica širom svijeta. Istraživači sigurnosti iz GoDaddy-ja nazvali su je “DollyWay Svjetska Dominacija”, s ciljem preusmjeravanja žrtava na lažne stranice za upoznavanje, kockanje, kriptovalute i lutriju. U prošlosti je ova kampanja također korištena za širenje ransomware-a i bankarskih trojana.
Trajanje i Utjecaj Kampanje
DollyWay je aktivna barem od 2016. godine i prema podacima GoDaddy-ja, trenutno generira nevjerojatnih 10 milijuna impresija svaki mjesec, što donosi solidne prihode operatorima. Kako su godine prolazile, kampanja je poboljšala strategije izbjegavanja otkrivanja, reinfekcije i monetizacije.
Tehnike Napada
DollyWay se sada nalazi u svojoj trećoj iteraciji, dok su prethodne bile više usredotočene na distribuciju zlonamjernog softvera i phishing. Da bi kompromitirali WordPress web stranice, operateri DollyWay-a tražili su ranjivosti u plugin-ima i temama platforme. Također su koristili Sustav Usmjeravanja Prometa (TD) za filtriranje i preusmjeravanje korisnika prema njihovoj lokaciji, uređaju i referentnom linku.
Implementacija Obfuscacije
Kako bi osigurali da napadači budu plaćeni za svako preusmjerenje, koristili su mreže VexTrio i LosPollos. Kada je riječ o obfuscaciji, DollyWay je primjenjivao razne tehnike. Preusmjeravao je korisnike samo nakon što bi kliknuli na nešto, kako bi izbjegao pasivne sigurnosne skenove. Također, nije preusmjeravao prijavljene WordPress korisnike, botove i direktne posjetitelje koji dolaze bez referentnih linkova. Ostao je vrlo uporan, s obzirom na to da bi reinfekcija nastupila pri svakom učitavanju stranice.
Zajednička Infrastruktura Napada
U početku, istraživači iz GoDaddy-ja su imali dojam da analiziraju više grupa i različitih kampanja. Međutim, njihovo istraživanje je pokazalo da ovi napadi dijele zajedničku infrastrukturu, obrasce koda i metode monetizacije, što sugerira povezanost s jednim, sofisticiranim prijetnjama. “Operacija je nazvana prema specifičnom nizu koji se nalazi u nekim varijacijama malware-a: define(‘DOLLY_WAY’, ‘Svjetska Dominacija’),” zaključili su istraživači.
Zaključak
Ova dugotrajna zlonamjerna kampanja predstavlja ozbiljnu prijetnju vlasnicima WordPress web stranica. Razumijevanje tehnika koje se koriste za infiltraciju i preusmjeravanje može pomoći u jačanju sigurnosnih mjera. Svaki webmaster trebao bi pažljivo pratiti potencijalne ranjivosti i redovito ažurirati svoje platforme kako bi se zaštitio od ovakvih sofisticiranih napada.
