DollyWay 恶意软件活动入侵 2 万多个 WordPress 网站
HackerNews 编译,转载请注明出处: 自 2016 年起,一项名为 “DollyWay” 的恶意软件活动通过入侵全球超过 20,000 个 WordPress 网站,将用户重定向至恶意网站。 在过去的八年里,该活动不断演变,采用了先进的逃避、重新感染和盈利策略。 据 GoDaddy 研究员 Denis Sinegubko 表示,DollyWay 在其最新版本(v3)中充当了一个大规模诈骗重定向系统。然而,在过去,它曾分发过更具破坏性的有效载荷,如勒索软件和银行木马。 “GoDaddy 安全研究人员发现了多个恶意软件活动之间的关联证据,这些活动汇聚成一个我们称之为 ‘DollyWay 世界统治’ 的长期运作,”GoDaddy 近期的一份报告解释道。 “虽然之前被认为是独立的活动,但我们的研究表明,这些攻击共享相同的基础设施、代码模式和盈利方法——所有迹象都表明它们与一个单一的、 sophisticated(复杂且老练的)威胁行为者有关。 “该行动的命名源于以下具有代表性的字符串,该字符串出现在某些恶意软件变种中:define(‘DOLLY_WAY’, ‘World Domination’)。” DollyWay v3 是一个先进的重定向操作,它利用插件和主题中的 n-day 漏洞来入侵易受攻击的 WordPress 网站。 截至 2025 年 2 月,DollyWay 每月通过将 WordPress 网站访客重定向至虚假的约会、赌博、加密货币和抽奖网站,产生 1,000 万次欺诈性展示。 该活动通过 VexTrio 和 LosPollos 附属网络进行盈利,在此之前,访客会通过流量分配系统(TDS)进行筛选。 流量分配系统根据访客的地理位置、设备类型和引荐来源等信息,对网络流量进行分析和重定向。网络犯罪分子通常利用恶意的 TDS 系统,将用户重定向至钓鱼网站或恶意软件下载页面。 这些网站是通过带有 ‘wp_enqueue_script’ 的脚本注入而被攻破的,该脚本会从被攻破的网站动态加载第二个脚本。 第二阶段收集访客的引荐来源数据,以帮助对重定向流量进行分类,然后加载决定目标有效性的 TDS 脚本。 直接访问网站且没有引荐来源、不是机器人(脚本中硬编码了 102 个已知机器人用户代理)、并且不是已登录的 WordPress 用户(包括管理员)的访客,被视为无效目标,不会被重定向。 第三阶段选择三个随机感染的站点作为 TDS 节点,然后从其中一个节点加载隐藏的 JavaScript,以执行最终到 VexTrio 或 LosPollos 诈骗页面的重定向。 该恶意软件使用附属跟踪参数,以确保攻击者每次重定向都能获得报酬。 值得注意的是,最终的重定向仅在访客与页面元素交互(点击)时发生,从而逃避仅检查页面加载的被动扫描工具。 Sinegubko 解释说,DollyWay 是一个非常顽固的威胁,它会在每次页面加载时自动重新感染网站,因此清除它尤其困难。 它通过将 PHP 代码分散在所有活跃插件中,并添加一个 WPCode 插件的副本(如果尚未安装)来实现这一目的,该插件包含混淆的恶意软件代码片段。 WPCode 是一个第三方插件,允许管理员添加小段 “代码”,在不直接编辑主题文件或 WordPress 代码的情况下修改 WordPress 功能。 作为攻击的一部分,黑客会将 WPCode 从 WordPress 插件列表中隐藏,以便管理员无法看到或删除它,这使得消毒变得复杂。 DollyWay 还会创建以随机 32 字符十六进制字符串命名的管理员用户,并将这些账户在管理员面板中隐藏。只有通过直接的数据库检查才能看到这些账户。 GoDaddy 共享了与 DollyWay 相关的完整妥协指标(IoCs),以帮助抵御这一威胁。 它将在后续文章中发布更多关于该行动基础设施和战术变化的细节。 消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文