DollyWay Zararlı Yazılım Şeması, 20.000’den Fazla WordPress Sitesini Etkiliyor

GoDaddy Güvenlik araştırmacıları, “DollyWay World Domination” adlı büyük çaplı bir zararlı yazılım operasyonunu ortaya çıkardı. Bu operasyon, 2016’dan beri sessizce 20,000’den fazla web sitesini etkiliyor.

Kampanya, zararlı yazılımda bulunan bir kod satırının adını taşıyor ve hacklenmiş WordPress sitelerini kullanarak ziyaretçileri dolandırıcılık sayfalarına tıklamaya ikna ediyor. Bu sayede saldırganlar milyonlarca dolar kazanıyorlar.

Operasyon yıllar içinde evrildi, 2016’da Master134 ve Sahte Tarayıcı Güncellemeleri gibi kampanyalarla başladı. En son sürüm, DollyWay v3, oldukça ileri düzeyde olup, gizli kalmak için zeki hileler kullanıyor.

Örneğin, otomatik olarak web sitelerini yeniden enfekte edebilir, diğer kötü amaçlı yazılımları kaldırabilir ve hatta WordPress’i güncelleyerek siteyi sorunsuz bir şekilde çalışırken kötü amaçlı aktivitelerini gizleyebilir.

İşte nasıl çalıştığı: Enfekte olmuş bir web sitesini ziyaret ettiğinizde, kötü amaçlı yazılım sizi fark etmeden dolandırıcılık sayfalarına, genellikle flört, kripto para ya da kumarla ilgili olanlara yönlendirir. Bu dolandırıcılıklar, VexTrio adı verilen bir siber suçlular ağı tarafından yürütülen daha geniş bir ağın parçasıdır. Kötü amaçlı yazılım, botları, oturumu açık kullanıcıları ve hatta yerel ziyaretçileri görmezden gelerek tespit edilmesini engelleyecek kadar sinsi bir şekilde çalışır.

2025 Şubat itibariyle, 10.000’den fazla WordPress sitesi enfekte olmuş durumda ve her ay yaklaşık 10 milyon kötü amaçlı sayfa görüntülemesi gerçekleştiriyor. Kötü amaçlı yazılım, gizli kalmak üzere tasarlandığı için, web sitesi sahiplerinin bir şeylerin yanlış olduğunu fark etmeleri zor olmaktadır.

DollyWay v3’ün en endişe verici özelliklerinden biri, web sitelerini tekrar tekrar enfekte etme yeteneğidir. Herhangi biri enfekte bir siteyi ziyaret ettiğinde, kötü amaçlı yazılım hâlâ kontrolde olup olmadığını kontrol eder. Eğer herhangi bir güvenlik eklentisi bulursa, onları devre dışı bırakır. Ayrıca, kötü amaçlı kodları meşru eklentilere ve WPCode parçacıklarına saklar, bu da onları tespit etmeyi ve kaldırmayı daha da zorlaştırır.

Saldırganlar ayrıca rastgele kullanıcı adları ve e-posta adresleriyle gizli yönetici hesapları oluştururlar. Bu hesaplar, onlara siteye her zaman erişim sağlar, hatta orijinal yönetici onları kaldırmaya çalışsa bile. Bazı durumlarda, kötü amaçlı yazılım, erişimi sürdürmek için gerçek yöneticinin giriş bilgilerini bile çalar.

İşleri daha da kötüleştirmek adına, bu kötü amaçlı yazılım kodunu korumak ve sadece saldırganların onu kontrol edebilmesini sağlamak için gelişmiş şifreleme kullanıyor. Ayrıca, dolandırıcılığa yönlendirmeleri yönetmek için TDS düğümleri olarak adlandırılan 14 enfekte web sitesinin bir ağından yararlanıyor. Bu düğümler, operasyonun sorunsuz bir şekilde devam etmesini sağlamak için her gün güncelleniyor.

Web site sahiplerinin, beklenmedik yönlendirmeler veya tuhaf yönetici hesapları gibi enfeksiyon belirtileri açısından sitelerini kontrol etmeleri öneriliyor. Güçlü güvenlik eklentilerini kullanmak ve WordPress’i güncel tutmak, bu tür saldırılara karşı koruma sağlayabilir.