Wordpress
Система управления контентом WordPress используется на 43,5% сайтов в Интернете, поэтому нет ничего удивительного в том, что злоумышленники постоянно ищут способы атаки на нее. В марте этого года исследователи кибербезопасности хостинговой компании GoDaddy описали продолжающуюся с 2016 года операцию, в рамках которой за последние 8 лет было скомпрометировано более 20 000 веб-сайтов на WordPress по всему миру.
Операция получила название DollyWay World Domination из-за строки кода, найденной в нескольких вариантах вредоносного ПО, — define (‘DOLLY_WAY’, ‘World Domination’). В рамках DollyWay злоумышленники внедряют на сайты вредоносные скрипты с разнообразной функциональностью. Основная цель злоумышленников — перенаправление трафика посетителей легитимных сайтов на посторонние страницы. По состоянию на февраль 2025 года эксперты фиксировали более 10 тысяч зараженных WordPress-сайтов по всему миру.
Для компрометации сайтов злоумышленники используют уязвимости в плагинах и темах WordPress. Через них на сайт сначала внедряется
нейтральный скрипт, не привлекающий внимание систем безопасности, выполняющих статический анализ HTML-кода. А он, в свою очередь, подгружает более опасные скрипты, которые служат для профилирования жертвы, общения с командными серверами и непосредственно перенаправления посетителей зараженных сайтов. Более подробное техническое описание работы этих скриптов можно почитать в оригинальном исследовании.
Как преступники монетизируют свою схему
Ссылки редиректа, которые формирует DollyWay, содержат партнерский идентификатор. Это очень похоже на реферальные программы, которые часто используют, например, блогеры при рекламе тех или иных продуктов или сервисов. С помощью таких идентификаторов сайты определяют, откуда к ним попали пользователи, и обычно отчисляют блогерам процент за покупки тех посетителей, которые пришли через их ссылки. Операция DollyWay World Domination монетизируется очень похожим образом, используя партнерские программы VexTrio и Lospollos.
VexTrio называют Uber в мире киберпреступности. Этот ресурс предположительно активен как минимум с 2017 года, а его основная роль состоит в посредничестве при распространении мошеннического контента, шпионского и вредоносного ПО, порнографии и так далее. Именно VexTrio непосредственно занимается перенаправлением трафика, который приходит от DollyWay, на мошеннические сайты.
Как уже было сказано выше, зловред профилирует жертв. В соответствии с этим профилем пользователи перенаправляются на сайты разных категорий
— фейковые знакомства, криптовалюты, азартные игры и так далее.
Lospollos, судя по всему, специализируется на продаже трафика легитимным сервисам. В тех случаях, когда DollyWay перенаправляет трафик на один из сайтов, продвигаемых Lospollos, редиректы всегда содержат идентификатор одного и того же партнерского аккаунта Lospollos. Сотрудничество DollyWay с Lospollos объясняет, почему в некоторых случаях редирект с зараженных сайтов приводит пользователей не на вредоносные сайты, а на страницы вполне легитимных приложений в Google Play, в том числе Tinder или TikTok.
Как DollyWay скрывает свое присутствие на зараженных сайтах
Преступники старательно заботятся о том, чтобы их вредоносное ПО было сложно обнаружить и удалить. Начать с того, что вредоносный код внедряется во все активные плагины. Удалить его не так-то просто, поскольку DollyWay использует продвинутый механизм повторного заражения, который срабатывает каждый раз при открытии любой страницы зараженного сайта. Если не удалить вредоносный код из всех активных плагинов и сниппетов до того, как кто-нибудь загрузит любую страницу сайта, произойдет повторное заражение.
Однако и обнаружить DollyWay может быть не такой уж простой задачей — это ПО умеет искусно скрывать свое присутствие на сайте. Для поддержания доступа к зараженному сайту злоумышленники создают собственный аккаунт с правами администратора. Этот аккаунт не виден через панель управления WordPress — DollyWay скрывает его.
На случай обнаружения созданных ими аккаунтов преступники также перехватывают учетные данные реальных администраторов. Для этого DollyWay отслеживает все, что вводится в форму входа в админку сайта, и сохраняет эти данные в скрытый файл.
При этом злоумышленники также заботятся и о поддержании работоспособности своих активов. Исследователи нашли следы использования ими скрипта, который, по всей видимости, используется для обслуживания зараженных сайтов. В частности, он может обновлять WordPress, устанавливать и обновлять необходимые компоненты и запускать процесс внедрения вредоносного кода.
Эксперты также обнаружили веб-оболочку, которую преступники, среди прочего, используют для обновления зараженных ими сайтов и защиты их от посторонних зловредов. Это показывает, что преступники заинтересованы в том, чтобы никакое другое вредоносное ПО не перехватило трафик или не привлекло лишнего внимания владельца сайта к проблемам безопасности.
Как полагают эксперты, скрипт для обслуживания и веб-оболочка используются преступниками не на всех сайтах, зараженных DollyWay. Поддержание такой инфраструктуры для всех десяти тысяч сайтов было бы слишком затратным с точки зрения ресурсов. Вероятно, эти скрипты злоумышленники внедряют только на самые важные из своих активов.
Как защитить сайт своей компании
Масштаб и продолжительность вредоносной операции DollyWay World Domination лишний раз напоминают о необходимости проводить регулярный аудит безопасности сайтов компании. Особое внимание в случае с сайтами на WordPress следует уделять плагинам и темам, поскольку они уже неоднократно показывали себя наиболее уязвимой частью инфраструктуры WordPress.
В случае если у вас есть подозрение, что сайт вашей компании стал жертвой DollyWay, исследователи рекомендуют отслеживать события создания и удаления файлов: некоторые версии вредоносного ПО DollyWay v3 выполняют файловые операции при каждой загрузке страницы.
При обнаружении признаков компрометации необходимо:
- Временно отключить сайт, перенаправив весь трафик на статическую страницу. Или как минимум деактивировать все плагины на все время удаления вредоносного ПО.
- Удалить все подозрительные плагины, не забывая при этом, что DollyWay умеет их скрывать из панели управления
- Удалить неопознанные аккаунты администраторов — опять-таки, следует учитывать, что их DollyWay также умеет скрывать.
- Сменить пароли всех пользователей WordPress, в первую очередь тех, у кого есть права администратора.
- Подключить двухфакторную аутентификациюдля входа в WordPress.
- Если ресурсов внутренней ИБ-команды не хватает — воспользоваться помощью сторонних специалистов по реагированию на инциденты.
Советы