Son yıllarda giderek karmaşıklaşan siber saldırılara bir yenisi daha eklendi. DollyWay adı verilen kötü amaçlı yazılım operasyonu, dünya çapında 20.000’den fazla WordPress siteyi ele geçirdi. Bu saldırı, zararlı yazılımları yaymak ve kullanıcıları dolandırıcılık amaçlı sayfalara yönlendirmek için gelişmiş teknikler kullanıyor.

DollyWay, özellikle WordPress altyapısını hedef alarak sahte yönlendirme ağları ve trafik sistemleri üzerinden kullanıcıları tuzağa düşürüyor. Operasyonun arkasında, VexTrio adlı bir siber suç ağı olduğu düşünülüyor. Bu ağ, DNS tekniklerini ve alan adı üretim algoritmalarını kullanarak saldırılarını planlıyor.

DollyWay Nasıl Çalışıyor?

DollyWay, dört aşamalı bir enjeksiyon zinciri kullanarak tespit edilmekten kaçınıyor. İlk aşamada, WordPress’in wp_enqueue_script fonksiyonu aracılığıyla zararlı bir betik yükleniyor. Bu betik, siteye özel bir MD5 hash tanımlayıcı içeriyor. Daha sonraki aşamalarda, yönlendirme amacıyla kullanılan trafik yönetim sistemi (TDS) betikleri ve referans bilgileri toplanıyor.

Enjekte edilen bu kötü amaçlı betikler genellikle wp-content/counts.php gibi dosya yolları üzerinden çalıştırılıyor. Ayrıca, DollyWay kendi kontrolünü korumak için WordPress’i güncelliyor ve rakip zararlı yazılımları kaldırıyor. Güvenlik eklentilerini devre dışı bırakıp, her sayfa yüklendiğinde kendini yeniden yükleyerek kalıcılığını sürdürüyor. DollyWay, saldırılarında, ele geçirilen WordPress sitelerinde barındırılan merkezi kontrol (C2) ve trafik yönlendirme düğümlerini kullanıyor. Bu düğümler, zararlı yazılımın güncel ayarlarını dağıtarak saldırının etkili bir şekilde devam etmesini sağlıyor.

Araştırmacılar, DollyWay’in sadece yönlendirme yapmadığını, aynı zamanda arka kapılar da bıraktığını belirtiyor. Bu arka kapılar, rastgele PHP kodları çalıştırabiliyor ve veri bütünlüğünü kriptografik imzalarla doğruluyor. DollyWay’in karmaşık yapısı ve kalıcılığı, WordPress sitelerinin güvenliğinin sürekli izlenmesi gerektiğini bir kez daha ortaya koyuyor.

Siber güvenlik uzmanları, bu tür tehditlere karşı sitelerin düzenli olarak güncellenmesini ve güvenlik önlemlerinin artırılmasını öneriyor. DollyWay operasyonunun, daha geniş çaplı saldırılar için bir uyarı niteliğinde olduğu belirtiliyor.

DollyWay 20.000 WordPress Siteyi Hackledi yazısı ilk önce TeknoBurada üzerinde ortaya çıktı.