WordPress Sitelerini Hedef Alan ‘DollyWay’ Zararlı Yazılımı 20.000 Siteyi Etkiledi
2016 yılından bu yana aktif olan DollyWay adlı zararlı yazılım operasyonu, dünya genelinde 20.000’den fazla WordPress sitesini ele geçirerek kullanıcıları kötü amaçlı sitelere yönlendirdi.
GoDaddy araştırmacısı Denis Sinegubko’ya göre, DollyWay son versiyonunda (v3) büyük ölçekli bir dolandırıcılık yönlendirme sistemi olarak çalışıyor. Ancak geçmişte, fidye yazılımı ve bankacılık trojanları gibi daha zararlı yükler dağıttığı biliniyor.
DollyWay Nasıl Çalışıyor?
DollyWay v3, WordPress sitelerini hedef alarak zafiyetli eklentiler ve temalar üzerinden sitelere sızıyor. Şubat 2025 itibarıyla, ayda 10 milyon dolandırıcılık etkileşimi oluşturuyor. Kullanıcılar, sahte flört, kumar, kripto ve çekiliş sitelerine yönlendiriliyor.
Operasyon, VexTrio ve LosPollos affiliate ağları üzerinden para kazanıyor. Yönlendirme işlemi, bir Trafik Yönlendirme Sistemi (TDS) aracılığıyla gerçekleştiriliyor. TDS, ziyaretçinin konumu, cihaz türü ve referans bilgilerine göre trafiği analiz ediyor.
DollyWay, WordPress sitelerine ‘wp_enqueue_script’ enjeksiyonu yaparak ikinci bir zararlı script yüklüyor. Bu script, ziyaretçi verilerini toplayarak TDS’ye iletiyor. TDS, hedefin geçerliliğini belirledikten sonra kullanıcıları dolandırıcılık sitelerine yönlendiriyor.
Yönlendirme işlemi, kullanıcı bir sayfa öğesine tıkladığında gerçekleşiyor. Bu yöntem, pasif tarama araçlarını atlatmayı hedefliyor. DollyWay, her sayfa yüklemesinde otomatik olarak yeniden enfekte olabilen bir zararlı yazılım. Bu özellik, temizleme işlemini oldukça zorlaştırıyor. Zararlı yazılım, tüm aktif eklentilere PHP kodu enjekte ediyor ve WPCode eklentisini gizlice yüklüyor.
WPCode, WordPress yöneticilerinin temel dosyaları değiştirmeden küçük kod parçaları eklemesine olanak tanıyan bir eklenti. Saldırganlar, bu eklentiyi WordPress eklenti listesinden gizleyerek yöneticilerin fark etmesini engelliyor. Ayrıca, DollyWay rastgele 32 karakterlik hex dizileriyle yönetici hesapları oluşturuyor. Bu hesaplar, yalnızca doğrudan veritabanı incelemesiyle tespit edilebiliyor.
GoDaddy, DollyWay ile ilişkili tehlike göstergelerini (IoCs) paylaştı. Bu göstergeler, WordPress site yöneticilerinin zararlı yazılımı tespit etmesine yardımcı olabilir. Şirket, operasyonun altyapısı ve değişen taktikleri hakkında daha fazla bilgiyi yakında yayınlayacağını duyurdu.
