O nouă campanie malware a afectat 20.000 de site-uri WordPress

O campanie malware denumită DollyWay a fost demarată încă din 2016, compromițând peste 20.000 de site-uri WordPress la nivel global pentru a redirecționa utilizatorii către site-uri rău intenționate.

Potrivit specialiștilor, DollyWay a funcționat ca un sistem de redirecționare a scam-urilor la scară largă în ultima sa versiune (v3). Cu toate acestea, în trecut, acesta a distribuit payload-uri mai periculoase, cum ar fi ransomware și banking trojans.

Specialiștii au sesizat că mai multe campanii malware au fost asociate într-o singură operațiune de lungă durată pe care am numit-o DollyWay World Domination.

Operațiunea a fost denumită după următorul șir de caractere revelator, care se găsește în unele variante ale malware-ului: define(«DOLLY_WAY», «World Domination»).

DollyWay v3 este o operațiune avansată de redirecționare care vizează site-urile WordPress vulnerabile, folosind defecte n-day pe plugin-uri și teme pentru a le compromite.

Un Sistem de Direcționare a Traficului analizează și redirecționează traficul web pe baza diferitelor aspecte ale unui utilizator, cum ar fi locația, tipul de dispozitiv și referințe. Atacatorii utilizează în mod obișnuit sisteme TDS rău intenționate pentru a redirecționa utilizatorii către site-uri de phishing sau de descărcare a programelor malware.

Site-urile web sunt compromise prin intermediul unei injectări de script cu wp_enqueue_script, care încarcă dinamic un al doilea script de pe site-ul compromis.

De remarcat este faptul că redirecționarea finală are loc numai atunci când utilizatorul interacționează cu un element al paginii (click), evitând instrumentele de scanare pasivă care examinează numai încărcarea paginii.

DollyWay este o problemă foarte persistentă care reinfectează automat un site la fiecare încărcare de pagină, astfel încât eliminarea sa este deosebit de dificilă.

Acest lucru este realizat prin răspândirea codului său PHP în toate pluginurile active și, de asemenea, prin adăugarea unei copii a pluginului WPCode (dacă nu este deja instalat) care conține fragmente de malware ofuscate.

Ca parte a atacului, atacatorii ascund WPCode din lista de plugin-uri WordPress, astfel încât administratorii să nu îl poată vedea sau șterge, făcând dezinfectarea complicată.

DollyWay creează, de asemenea, utilizatori cu drepturi de admin denumiți după șiruri hexazecimale aleatorii de 32 de caractere și păstrează aceste conturi ascunse în panoul de administrare. Acestea sunt vizibile doar prin inspectarea directă a bazei de date.

Sursă: https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/