Более 20 000 сайтов на WordPress подверглись атаке вредоносного ПО

Эксперты из GoDaddy выявили продолжительную и упорную вредоносную кампанию, которая заразила более 20 000 сайтов WordPress по всему миру.

Специалисты по безопасности из GoDaddy назвали ее «DollyWay World Domination». Целью кампании было перенаправление посетителей на поддельные сайты знакомств, азартных игр, криптовалюты и лотерей. Ранее эта кампания использовалась для распространения вымогательского ПО и банковских троянов.

По словам GoDaddy, DollyWay активна с 2016 года и в настоящее время генерирует 10 миллионов просмотров в месяц, принося своим операторам солидную прибыль. На протяжении многих лет она также совершенствовала стратегии уклонения, повторного заражения и монетизации.

В настоящее время DollyWay находится в своей третьей итерации, в то время как предыдущие версии были более сосредоточены на распространении вредоносного ПО и фишинге.

Для компрометации сайтов WordPress операторы DollyWay искали уязвимости типа «n-day» в плагинах и темах для платформы. Они также использовали Систему Направления Трафика (TD), чтобы фильтровать и перенаправлять пользователей в зависимости от их местоположения, устройства и источника перехода.

Чтобы гарантировать получение оплаты за каждое перенаправление, они использовали сети VexTrio и LosPollos.

Что касается маскировки, DollyWay предпринимала ряд действий:

• Перенаправляла пользователей только после того, как они кликнули на что-то, чтобы избежать пассивных сканирований безопасности.
• Не перенаправляла никаких залогиненных пользователей WordPress, ботов и прямых посетителей, которые приходили без ссылок.
• Была довольно упорной, поскольку повторное заражение происходило при каждой загрузке страницы.

Изначально исследователи GoDaddy думали, что они анализируют несколько групп и разные кампании.

«Хотя ранее считалось, что это отдельные кампании, наши исследования показали, что эти атаки разделяют общую инфраструктуру, шаблоны кода и методы монетизации - все указывает на связь с одним сложным злоумышленником», - заключили исследователи. «Операция была названа в честь следующей характерной строки, которая встречается в некоторых вариантах вредоносного ПО: define('DOLLY_WAY', 'World Domination').»