DollyWay Dünya Hakimiyeti: WordPress web sitelerine saldırı

2016 yılından bu yana bir tehdit aktörü, WordPress web sitelerine bulaşmak ve trafiği kötü amaçlı web sitelerine yönlendirmek için güvensiz eklentilerden ve temalardan yararlanıyor.

DollyWay 2025'te WordPress sitelerine nasıl bulaşıyor?

Dünyadaki tüm web sitelerinin yarısından biraz fazlasının WordPress içerik yönetim sistemi tarafından desteklendiği düşünüldüğünde, siber suçluların sürekli olarak bu sistemden faydalanmak için boşluklar aramasına şaşmamak gerekir. Geçtiğimiz Mart ayında, hosting şirketi GoDaddy’deki siber güvenlik araştırmacıları, 2016 yılında başlayan ve o zamandan beri dünya çapında 20.000’den fazla WordPress web sitesini tehlikeye atan bir saldırı kampanyasını açıkladılar.

Saldırı kampanyası, bu kampanyada kullanılan kötü amaçlı yazılımda bulunan bir kod satırından (define (‘DOLLY_WAY’, ‘World Domination’) sonra “DollyWay World Domination” olarak adlandırılmaya başlandı. DollyWay’in bir parçası olarak, tehdit aktörleri web sitelerine çeşitli yeteneklere sahip kötü amaçlı komut dosyaları enjekte ederler ve ana hedefleri, kullanıcıları gerçek web sitelerinden üçüncü taraf sayfalarına yönlendirmektir. Şubat 2025 itibariyle uzmanlar dünya çapında 10.000’in üzerinde virüslü WordPress web sitesi kayda geçirmiştir.

Kötü niyetli kişiler, web sitelerini ele geçirmek için WordPress eklentileri ve temalarındaki açıklardan yararlanırlar ve işe; statik HTML kodu analizi yapan güvenlik sistemlerinde hiçbir tehlike işareti yaratmayacak, zararsız görünen bir komut dosyası enjekte ederek başlarlar. Script, kurbanların profilini çıkarmak, komuta ve kontrol sunucularıyla iletişim kurmak ve nihayetinde ziyaretçileri virüslü sitelere yönlendirmek için kullanılan daha tehlikeli kodları sessizce indiren gizli bir sızıntı aracı olarak çalışır. Bu senaryoların nasıl çalıştığına dair ayrıntılı bir açıklama için orijinal araştırma makalesini okuyabilirsiniz.

Kötü niyetli saldırı kampanyasından para kazanma

DollyWay tarafından oluşturulan yönlendirme bağlantıları, blog yazarlarının ürün veya hizmetleri tanıtmak için sıklıkla kullandıkları yönlendirme programlarına benzer şekilde bir ortaklık tanımlayıcısı içerir. Bu tanımlayıcılar, web sitelerinin kullanıcıların nereden geldiğini takip etmesini sağlar. Blog yazarları genellikle yönlendirme bağlantıları aracılığıyla gelen ziyaretçiler tarafından yapılan alışverişlerden komisyon alırlar. DollyWay World Domination Saldırı Kampanyası, VexTrio ve LosPollos ortaklık programları kullanılarak aynı şekilde para kazanılmaktadır.

VexTrio “siber suçların Uber’i” olarak adlandırılır. En az 2017’den beri etkin olduğu bildirilen bu hizmet, temel olarak dolandırıcılık içeriği, casus yazılım, kötü amaçlı yazılım, pornografi vb. için bir aracı görevi görür. DollyWay’den gelen trafiği dolandırıcılık sitelerine yönlendiren VexTrio’dur. Yukarıda belirtildiği gibi, kötü amaçlı yazılım kurbanlarının profilini çıkarır. Bu profillere dayanarak, kullanıcılar sahte arkadaşlık siteleri, kripto dolandırıcılığı veya kumar sayfaları gibi çeşitli web sitelerine yönlendirilir.

LosPollos görünüşe göre yasal hizmetlere trafik satma konusunda uzmanlaşmış. DollyWay, trafiği LosPollos tarafından tanıtılan bir siteye yönlendirdiğinde, yönlendirmeler her zaman aynı LosPollos bağlı kuruluş hesap tanımlayıcısını içerir. DollyWay’in LosPollos ile ortaklığı, bazı durumlarda virüslü sitelerden gelen yönlendirmelerin, kullanıcıları neden kötü amaçlı sayfalara değil de Google Play’deki Tinder veya TikTok gibi yasal uygulama listelerine yönlendirdiğini açıklıyor.

DollyWay bulaştığı web sitelerinde kendini nasıl gizliyor?

Siber suçlular, kötü amaçlı yazılımlarının tespit edilmesini ve kaldırılmasını önlemek için büyük özen gösterirler. Yeni başlayanlar için, kötü amaçlı kod her aktif eklentiye enjekte edilir. DollyWay, ele geçirilen sitedeki bir sayfaya her erişildiğinde tetiklenen gelişmiş bir yeniden bulaşma mekanizması kullandığından, onu kaldırmak hiç de kolay değildir. Kötü amaçlı kod tüm aktif eklentilerden ve snippet’lerden kaldırılmazsa, sitedeki herhangi bir sayfanın yüklenmesi yeniden enfeksiyona neden olacaktır.

DollyWay’i tespit etmek de basit bir iş olmayabilir; kötü amaçlı yazılım, virüslü bir sitedeki varlığını gizleme konusunda ustadır. Saldırganlar, ele geçirilen siteye erişimi sürdürmek için yönetici ayrıcalıklarına sahip kendi hesaplarını oluşturur ve DollyWay bu hesabı WordPress kontrol panelinden gizler.

Hesaplarının tespit edilmesi durumunda, saldırganlar meşru yöneticilerin kimlik bilgilerini de ele geçirirler. Bunu yapmak için DollyWay, sitenin yönetici giriş formuna girilen her şeyi izler ve verileri gizli bir dosyaya kaydeder.

Saldırganlar ayrıca varlıklarının çalışır durumda kalmasını sağlamak için de önlem alırlar. Araştırmacılar, saldırganlar tarafından virüslü siteleri korumak için kullanıldığı anlaşılan bir komut dosyasının kanıtlarını buldular. Özellikle, WordPress’i güncelleyebilir, gerekli bileşenleri yükleyebilir ve güncelleyebilir ve kötü amaçlı kod enjeksiyonunu başlatabilir.

Uzmanlar ayrıca saldırganların, daha pek çok işlevinin yanında, güvenliği ihlal edilmiş siteleri güncellemek ve rakip kötü amaçlı yazılımları uzak tutmak için kullandıkları bir web kabuğu keşfetti. Bu da saldırganların diğer kötü amaçlı yazılımların trafiği ele geçirmesini ya da site sahibini uyarabilecek herhangi bir güvenlik alarmı vermesini engellemek istediklerini gösteriyor.

Uzmanlar, bakım betiği ve web kabuğunun DollyWay’in bulaştığı her sitede dağıtılmadığına inanıyor. Bu tür bir altyapıyı 10.000 sahanın tamamında sürdürmek çok yoğun kaynak gerektirecektir. Muhtemelen saldırganlar bu komut dosyalarını yalnızca en değerli varlıklarına yerleştiriyorlar.

Kurumsal web sitenizi koruma

DollyWay World Domination saldırı kampanyasının büyüklüğü ve uzun ömürlülüğü, şirket web sitelerinin düzenli olarak güvenlik denetiminden geçirilmesi gerektiğinin altını bir kez daha çiziyor. WordPress siteleri söz konusu olduğunda; platform altyapısının en savunmasız kısımları olduğu defalarca kanıtlanan eklentiler ve temalar, özel bir ilgiyi hak ediyor.

Şirketinizin web sitesinin DollyWay’in kurbanı olduğundan şüpheleniyorsanız, araştırmacılar dosya oluşturma ve silme olaylarını yakından takip etmenizi öneriyor. DollyWay v3’ün bazı sürümleri her sayfa yüklendiğinde dosya işlemleri gerçekleştirdiğinden, bu tür bir etkinlik güvenlik ihlali olabilir.

İşte güvenliğin tehlikeye atıldığına dair belirtilerle karşılaşırsanız yapmanız gerekenler.

  • Etkilenen siteyi geçici olarak çevrimdışı hale getirerek tüm trafiği statik bir sayfaya yönlendirin. En azından kötü amaçlı yazılımı kaldırırken tüm eklentileri devre dışı bırakın.
  • Şüpheli eklentileri kaldırın. Ancak DollyWay’in bunları WordPress kontrol panelinden nasıl gizleyeceğini bildiğini unutmayın.
  • Tanınmayan yönetici hesaplarını silin. DollyWay’in bunları da gizleyebileceğini unutmayın.
  • Yönetici ayrıcalıklarına sahip olanlardan başlayarak tüm WordPress kullanıcılarının parolalarını değiştirin.
  • WordPress oturum açma için iki faktörlü kimlik doğrulamayı etkinleştirin.
  • Dahili bilgi güvenliği ekibinin kaynakları yetersizse, üçüncü taraf olay müdahale uzmanlarından yardım isteyin.
İpuçları
Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için