پرش به محتوای اصلی

سلطه جهانی DollyWay: حمله به وب ‌سایت ‌های وردپرس

سلطه جهانی DollyWay: حمله به وب ‌سایت ‌های وردپرس

از سال 2016، یک عامل تهدید با سوء استفاده از افزونه ‌ها و قالب‌ های ناایمن، وب‌ سایت‌ های وردپرسی (WordPress) را آلوده کرده و بازدیدکنندگان این سایت ‌ها را به وب‌ سایت ‌های مخرب هدایت می‌ کند.

با توجه به اینکه نزدیک به نیمی از وب ‌سایت ‌های جهان از سیستم مدیریت محتوای وردپرس (WordPress CMS) استفاده می‌ کنند، جای تعجب نیست که مجرمان سایبری همواره به‌ دنبال یافتن نقاط ضعف برای سوء استفاده از آن هستند. در مارس 2025، پژوهشگران امنیت سایبری شرکت میزبان وب GoDaddy از یک کمپین مخرب پرده برداشتند که از سال 2016 آغاز شده و تاکنون بیش از 20 هزار وب ‌سایت وردپرسی را در سراسر جهان تحت تاثیر قرار داده است.

این کمپین با عنوان "سلطه جهانی DollyWay" شناخته می ‌شود؛ نامی که از خطی از کد موجود در بدافزار مربوطه گرفته شده است (define(‘DOLLY_WAY’, ‘World Domination’)). در چارچوب این کمپین، عاملان تهدید اسکریپت ‌های مخربی را با قابلیت ‌های مختلف به وب‌ سایت‌ ها تزریق می ‌کنند. هدف اصلی آن‌ ها هدایت کاربران از وب ‌سایت ‌های قانونی به صفحات مشکوک و شخص ثالث است. بنا بر گزارش ‌ها، تا فوریه 2025، بیش از 10 هزار وب‌ سایت وردپرسی آلوده به این بدافزار در سطح جهان شناسایی شده ‌اند.

برای آلوده ‌سازی وب‌ سایت ‌ها، مهاجمان سایبری از آسیب ‌پذیری ‌های موجود در افزونه ‌ها و قالب ‌های وردپرس سوء استفاده می ‌کنند. آن‌ ها در گام نخست اسکریپتی را تزریق می ‌کنند که ظاهری بی‌ خطر دارد و در بررسی‌ های امنیتی مبتنی بر تحلیل ایستا (Static Analysis) کد HTML، هیچ هشدار خاصی ایجاد نمی ‌کند. این اسکریپت نقش یک نفوذگر پنهان را ایفا می ‌کند - به‌ صورت بی ‌سر و صدا کدهای مخرب ‌تری را دانلود می‌ کند که برای شناسایی ویژگی ‌های قربانی، ارتباط با سرورهای فرماندهی و کنترل (C2) و در نهایت هدایت بازدیدکنندگان به سایت ‌های آلوده مورد استفاده قرار می‌ گیرند.

درآمدزایی از طریق کمپین مخرب

لینک‌ های تغییر مسیر (Redirect) ایجاد شده توسط کمپین DollyWay شامل یک شناسه معرف (Affiliate Identifier) هستند - مشابه آنچه در برنامه های همکاری در فروش مورد استفاده بلاگرها برای تبلیغ محصولات یا خدمات مشاهده می ‌شود. این شناسه ‌ها به وب ‌سایت ‌ها امکان می‌ دهند تا منشا ورود کاربران را ردیابی کنند. در مدل‌ های قانونی، بلاگرها معمولا درصدی از خریدهای انجام‌ شده توسط بازدیدکنندگانی که از طریق این لینک‌ ها وارد شده ‌اند، دریافت می ‌کنند. کمپین "سلطه جهانی DollyWay" نیز دقیقا از همین ساز و کار برای کسب درآمد بهره می ‌برد و از برنامه ‌های همکاری در فروش VexTrio و LosPollos برای هدایت کاربران و دریافت پورسانت استفاده می‌ کند.

سرویس VexTrio که دست‌ کم از سال 2017 فعال بوده، عمدتا نقش واسطه را در توزیع محتوای کلاهبردارانه، جاسوس‌ افزار، بدافزار، محتوای مستهجن و سایر انواع محتوای مخرب ایفا می ‌کند. در واقع، این VexTrio است که ترافیک هدایت‌ شده توسط DollyWay را به سایت ‌های کلاهبرداری منتقل می کند. همان‌ طور که پیش‌ تر اشاره شد، بدافزار DollyWay ابتدا قربانیان را تحلیل و شناسایی می‌ کند و بر اساس این پروفایل‌ ها، کاربران را به انواع مختلفی از وب‌ سایت ‌ها، از جمله سایت ‌های جعلی دوست‌ یابی، پروژه ‌های اسکم رمزارزی یا صفحات شرط‌بندی آنلاین، هدایت می‌ کند.

به ‌نظر می ‌رسد LosPollos در زمینه فروش ترافیک به سرویس ‌های قانونی تخصص دارد. هر زمان که بدافزار DollyWay کاربران را به سایتی هدایت می‌ کند که توسط LosPollos تبلیغ شده، این انتقال ترافیک همیشه شامل یک شناسه‌ وابسته ثابت از LosPollos است. همکاری بین DollyWay و LosPollos توضیح می ‌دهد که چرا در برخی موارد، کاربران از طریق سایت ‌های آلوده‌ شده نه به صفحات مخرب، بلکه به صفحات رسمی اپلیکیشن‌ هایی مانند تیندر یا تیک تاک در فروشگاه گوگل پلی هدایت می‌ شوند. در واقع، مهاجمان از این روش برای کسب درآمد از ترافیک هدایت ‌شده به شکل قانونی استفاده می ‌کنند، بدون آن‌ که لزوما هر بار کاربر را به سایت ‌های خطرناک بفرستند. این رفتار باعث می‌ شود فعالیت کمپین، کمتر مشکوک به‌ نظر برسد و سخت ‌تر شناسایی شود.

روش ‌های پنهان‌ کاری DollyWay در وب ‌سایت‌ های آلوده

مجرمان سایبری نهایت دقت را به خرج می‌ دهند تا بدافزارشان شناسایی و حذف نشود. در گام نخست، کد مخرب به تمام افزونه‌ های فعال وب ‌سایت تزریق می ‌شود. حذف آن به‌ هیچ ‌وجه کار ساده‌ ای نیست، چرا که DollyWay از یک مکانیزم پیشرفته بازآلودگی استفاده می‌ کند که هر بار یکی از صفحات سایت باز شود، دوباره کد مخرب را فعال می ‌کند. بنابراین، اگر کد آلوده از همه افزونه ‌ها و اسکریپت‌ ها به‌ طور کامل پاک ‌سازی نشود، هر بار با بارگذاری یک صفحه، بدافزار مجددا بازمی ‌گردد.

شناسایی این بدافزار نیز به‌ سادگی ممکن نیست. DollyWay به‌ خوبی حضور خود را در وب‌ سایت پنهان می ‌کند. برای حفظ دسترسی دائمی به سایت قربانی، مهاجمان یک حساب کاربری با سطح دسترسی مدیر (Admin) ایجاد می کنند، اما این حساب در پیشخوان وردپرس نمایش داده نمی شود و به ‌صورت مخفی باقی می ماند.

در صورتی‌ که حساب ‌های کاربری مخفی مهاجمان شناسایی و مسدود شوند، آن‌ ها راهکار دیگری نیز در نظر گرفته ‌اند: دزدیدن اطلاعات ورود مدیران واقعی وب‌ سایت. بدافزار DollyWay همه داده ‌هایی را که در فرم ورود بخش مدیریت وردپرس وارد می ‌شود، زیر نظر دارد و اطلاعات را در یک فایل مخفی ذخیره می کند. به این ترتیب، حتی اگر حساب جعلی ‌شان حذف شود، باز هم می‌ توانند با استفاده از اطلاعات مدیر اصلی به سایت دسترسی پیدا کنند.

مهاجمان همچنین تدابیری برای حفظ کنترل و فعال ماندن دارایی ‌های خود اتخاذ کرده ‌اند. پژوهشگران امنیتی به اسکریپتی برخوردند که ظاهرا برای نگه داری و مدیریت سایت‌ های آلوده طراحی شده است. این اسکریپت می ‌تواند وردپرس را به ‌روز رسانی کند، افزونه‌ ها و مولفه‌ های مورد نیاز را نصب یا به ‌روز رسانی کند، و فرآیند تزریق مجدد کدهای مخرب را آغاز کند.

کارشناسان امنیتی به یک وب‌ شل (Web Shell) نیز دست پیدا کرده ‌اند که مهاجمان از آن برای اهداف مختلفی استفاده می‌ کنند؛ از جمله به ‌روز رسانی سایت ‌های آلوده و همچنین جلوگیری از ورود سایر بدافزارها. این اقدام نشان می‌ دهد که مهاجمان به شدت تلاش می ‌کنند تا کنترل کامل سایت‌ های آلوده را حفظ کرده و مانع شوند بدافزارهای رقیب ترافیک را تصاحب کنند یا باعث هشدارهای امنیتی شوند که ممکن است صاحب سایت را متوجه آلودگی کند.

همچنین، تحلیلگران معتقدند که اسکریپت نگه داری و وب ‌شل در تمام سایت‌ های آلوده‌ شده توسط DollyWay نصب نمی ‌شود. چرا که مدیریت چنین زیرساختی در بیش از 10 هزار وب ‌سایت، نیازمند منابع بسیار زیادی است و از نظر اقتصادی و عملیاتی مقرون ‌به ‌صرفه نیست. به احتمال زیاد، مهاجمان این ابزارهای پیشرفته را فقط روی وب ‌سایت ‌های باارزش ‌تر - مثلا سایت ‌هایی با بازدید بالا یا اطلاعات حساس ‌تر - فعال می ‌کنند.

محافظت از وب ‌سایت سازمانی در برابر کمپین DollyWay

گستردگی و تداوم کمپین "سلطه جهانی DollyWay" بار دیگر اهمیت بازرسی ‌های امنیتی منظم برای وب ‌سایت‌ های سازمانی را برجسته می‌ کند. در وب ‌سایت ‌هایی که با وردپرس راه‌ اندازی شده ‌اند، توجه ویژه به افزونه ‌ها و قالب ‌ها ضروری است، چرا که این اجزا بارها به‌ عنوان آسیب ‌پذیرترین بخش ‌های این پلتفرم شناسایی شده‌ اند.

اگر احتمال می ‌دهید که وب ‌سایت سازمان شما هدف حمله DollyWay قرار گرفته است، پایش دقیق رویدادهای مربوط به ایجاد و حذف فایل‌ ها بسیار مهم است. این فعالیت ‌ها می ‌توانند نشانه‌ ای از نفوذ باشند؛ چرا که برخی نسخه ‌های بدافزار DollyWay (به ‌ویژه نسخه ۳) هر بار که یک صفحه بارگذاری می‌ شود، فایل ‌هایی را در پس ‌زمینه ایجاد یا حذف می‌ کنند.

اگر نشانه ‌هایی از آلوده شدن وب‌ سایت را مشاهده کردید، اقدامات زیر را انجام دهید:

  • وب ‌سایت را به ‌صورت موقت آفلاین کنید. اگر امکان دارد، کل سایت را موقتا از دسترس خارج کرده و ترافیک را به یک صفحه استاتیک (ثابت) منتقل کنید. اگر این کار ممکن نیست، حداقل همه افزونه‌ ها را غیرفعال کنید تا فرآیند حذف بدافزار بدون اختلال انجام شود.
  • افزونه‌ های مشکوک را حذف کنید. هر افزونه ‌ای که غیرعادی یا ناشناس به ‌نظر می ‌رسد باید حذف شود - با این حال توجه داشته باشید که بدافزار DollyWay می ‌تواند برخی افزونه‌ های آلوده را از پیشخوان وردپرس پنهان کند.
  • حساب‌ های مدیریتی (Admin) ناشناس را حذف کنید. بررسی کنید که آیا حساب‌ های مدیریتی غیرقابل شناسایی یا غیرمجاز در سایت وجود دارد یا خیر. باز هم توجه داشته باشید که DollyWay می ‌تواند این حساب ‌ها را نیز مخفی کند.
  • رمز عبور همه کاربران وردپرس را تغییر دهید. از مدیران سایت شروع کرده و رمز عبور تمام حساب ‌ها را به‌ روز کنید تا از سوء استفاده بیشتر جلوگیری شود.
  • احراز هویت دو مرحله ‌ای را فعال کنید. فعال ‌سازی ورود دو مرحله ‌ای (Two-Factor Authentication) باعث افزایش امنیت ورود کاربران به سایت خواهد شد.
  • در صورت نیاز از متخصصان خارج از سازمان کمک بگیرید. اگر تیم امنیت داخلی منابع یا تخصص لازم برای مقابله با این تهدید را ندارد، با کارشناسان پاسخ‌ گویی به رخدادهای امنیتی شرکت ایده ارتباط تراشه تماس بگیرید.
تبلیغات

طراحی و قالب سایت بازی و سرگرمی

مناسب برای فروشگاه های اسباب بازی و موزیک و فیلم
فروش ویژه تابستان آنتی ویروس نود 32 و کسپرسکی
Logo-Samandehi Logo-Enamad