{"id":13450,"date":"2025-06-13T22:12:07","date_gmt":"2025-06-13T19:12:07","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13450"},"modified":"2025-06-13T22:12:07","modified_gmt":"2025-06-13T19:12:07","slug":"dollyway-world-domination-infects-wordpress-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/dollyway-world-domination-infects-wordpress-websites\/13450\/","title":{"rendered":"DollyWay D\u00fcnya Hakimiyeti: WordPress web sitelerine sald\u0131r\u0131"},"content":{"rendered":"

D\u00fcnyadaki t\u00fcm web sitelerinin yar\u0131s\u0131ndan biraz fazlas\u0131n\u0131n WordPress i\u00e7erik y\u00f6netim sistemi taraf\u0131ndan desteklendi\u011fi d\u00fc\u015f\u00fcn\u00fcld\u00fc\u011f\u00fcnde, siber su\u00e7lular\u0131n s\u00fcrekli olarak bu sistemden faydalanmak i\u00e7in bo\u015fluklar aramas\u0131na \u015fa\u015fmamak gerekir. Ge\u00e7ti\u011fimiz Mart ay\u0131nda, hosting \u015firketi GoDaddy\u2019deki siber g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131, 2016 y\u0131l\u0131nda ba\u015flayan ve o zamandan beri d\u00fcnya \u00e7ap\u0131nda 20.000\u2019den fazla WordPress web sitesini tehlikeye atan bir sald\u0131r\u0131 kampanyas\u0131n\u0131 a\u00e7\u0131klad\u0131lar<\/a>.<\/p>\n

Sald\u0131r\u0131 kampanyas\u0131, bu kampanyada kullan\u0131lan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mda bulunan bir kod sat\u0131r\u0131ndan (define (\u2018DOLLY_WAY\u2019, \u2018World Domination\u2019) sonra \u201cDollyWay World Domination\u201d olarak adland\u0131r\u0131lmaya ba\u015fland\u0131. DollyWay\u2019in bir par\u00e7as\u0131 olarak, tehdit akt\u00f6rleri web sitelerine \u00e7e\u015fitli yeteneklere sahip k\u00f6t\u00fc ama\u00e7l\u0131 komut dosyalar\u0131 enjekte ederler ve ana hedefleri, kullan\u0131c\u0131lar\u0131 ger\u00e7ek web sitelerinden \u00fc\u00e7\u00fcnc\u00fc taraf sayfalar\u0131na y\u00f6nlendirmektir. \u015eubat 2025 itibariyle uzmanlar d\u00fcnya \u00e7ap\u0131nda 10.000\u2019in \u00fczerinde vir\u00fcsl\u00fc WordPress web sitesi kayda ge\u00e7irmi\u015ftir.<\/p>\n

K\u00f6t\u00fc niyetli ki\u015filer, web sitelerini ele ge\u00e7irmek i\u00e7in WordPress eklentileri ve temalar\u0131ndaki a\u00e7\u0131klardan yararlan\u0131rlar ve i\u015fe; statik HTML kodu analizi yapan g\u00fcvenlik sistemlerinde hi\u00e7bir tehlike i\u015fareti yaratmayacak, zarars\u0131z g\u00f6r\u00fcnen bir komut dosyas\u0131 enjekte ederek ba\u015flarlar. Script, kurbanlar\u0131n profilini \u00e7\u0131karmak, komuta ve kontrol sunucular\u0131yla ileti\u015fim kurmak ve nihayetinde ziyaret\u00e7ileri vir\u00fcsl\u00fc sitelere y\u00f6nlendirmek i\u00e7in kullan\u0131lan daha tehlikeli kodlar\u0131 sessizce indiren gizli bir s\u0131z\u0131nt\u0131 arac\u0131 olarak \u00e7al\u0131\u015f\u0131r. Bu senaryolar\u0131n nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131na dair ayr\u0131nt\u0131l\u0131 bir a\u00e7\u0131klama i\u00e7in orijinal ara\u015ft\u0131rma makalesini<\/a> okuyabilirsiniz.<\/p>\n

K\u00f6t\u00fc niyetli sald\u0131r\u0131 kampanyas\u0131ndan para kazanma<\/h2>\n

DollyWay taraf\u0131ndan olu\u015fturulan y\u00f6nlendirme ba\u011flant\u0131lar\u0131, blog yazarlar\u0131n\u0131n \u00fcr\u00fcn veya hizmetleri tan\u0131tmak i\u00e7in s\u0131kl\u0131kla kulland\u0131klar\u0131 y\u00f6nlendirme programlar\u0131na benzer \u015fekilde bir ortakl\u0131k tan\u0131mlay\u0131c\u0131s\u0131 i\u00e7erir. Bu tan\u0131mlay\u0131c\u0131lar, web sitelerinin kullan\u0131c\u0131lar\u0131n nereden geldi\u011fini takip etmesini sa\u011flar. Blog yazarlar\u0131 genellikle y\u00f6nlendirme ba\u011flant\u0131lar\u0131 arac\u0131l\u0131\u011f\u0131yla gelen ziyaret\u00e7iler taraf\u0131ndan yap\u0131lan al\u0131\u015fveri\u015flerden komisyon al\u0131rlar. DollyWay World Domination Sald\u0131r\u0131 Kampanyas\u0131, VexTrio ve LosPollos ortakl\u0131k programlar\u0131 kullan\u0131larak ayn\u0131 \u015fekilde para kazan\u0131lmaktad\u0131r.<\/p>\n

VexTrio \u201csiber su\u00e7lar\u0131n Uber\u2019i\u201d olarak adland\u0131r\u0131l\u0131r<\/a>. En az 2017\u2019den beri etkin oldu\u011fu bildirilen bu hizmet, temel olarak doland\u0131r\u0131c\u0131l\u0131k i\u00e7eri\u011fi, casus yaz\u0131l\u0131m, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, pornografi vb. i\u00e7in bir arac\u0131 g\u00f6revi g\u00f6r\u00fcr. DollyWay\u2019den gelen trafi\u011fi doland\u0131r\u0131c\u0131l\u0131k sitelerine y\u00f6nlendiren VexTrio\u2019dur. Yukar\u0131da belirtildi\u011fi gibi, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m kurbanlar\u0131n\u0131n profilini \u00e7\u0131kar\u0131r. Bu profillere dayanarak, kullan\u0131c\u0131lar sahte arkada\u015fl\u0131k siteleri, kripto doland\u0131r\u0131c\u0131l\u0131\u011f\u0131 veya kumar sayfalar\u0131 gibi \u00e7e\u015fitli web sitelerine y\u00f6nlendirilir.<\/p>\n

LosPollos<\/a> g\u00f6r\u00fcn\u00fc\u015fe g\u00f6re yasal hizmetlere trafik satma konusunda uzmanla\u015fm\u0131\u015f. DollyWay, trafi\u011fi LosPollos taraf\u0131ndan tan\u0131t\u0131lan bir siteye y\u00f6nlendirdi\u011finde, y\u00f6nlendirmeler her zaman ayn\u0131 LosPollos ba\u011fl\u0131 kurulu\u015f hesap tan\u0131mlay\u0131c\u0131s\u0131n\u0131 i\u00e7erir. DollyWay\u2019in LosPollos ile ortakl\u0131\u011f\u0131, baz\u0131 durumlarda vir\u00fcsl\u00fc sitelerden gelen y\u00f6nlendirmelerin, kullan\u0131c\u0131lar\u0131 neden k\u00f6t\u00fc ama\u00e7l\u0131 sayfalara de\u011fil de Google Play\u2019deki Tinder veya TikTok gibi yasal uygulama listelerine y\u00f6nlendirdi\u011fini a\u00e7\u0131kl\u0131yor.<\/p>\n

DollyWay bula\u015ft\u0131\u011f\u0131 web sitelerinde kendini nas\u0131l gizliyor?<\/h2>\n

Siber su\u00e7lular, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n\u0131n tespit edilmesini ve kald\u0131r\u0131lmas\u0131n\u0131 \u00f6nlemek i\u00e7in b\u00fcy\u00fck \u00f6zen g\u00f6sterirler. Yeni ba\u015flayanlar i\u00e7in, k\u00f6t\u00fc ama\u00e7l\u0131 kod her aktif eklentiye enjekte edilir. DollyWay, ele ge\u00e7irilen sitedeki bir sayfaya her eri\u015fildi\u011finde tetiklenen geli\u015fmi\u015f bir yeniden bula\u015fma mekanizmas\u0131 kulland\u0131\u011f\u0131ndan, onu kald\u0131rmak hi\u00e7 de kolay de\u011fildir. K\u00f6t\u00fc ama\u00e7l\u0131 kod t\u00fcm aktif eklentilerden ve snippet\u2019lerden kald\u0131r\u0131lmazsa, sitedeki herhangi bir sayfan\u0131n y\u00fcklenmesi yeniden enfeksiyona neden olacakt\u0131r.<\/p>\n

DollyWay\u2019i tespit etmek de basit bir i\u015f olmayabilir; k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, vir\u00fcsl\u00fc bir sitedeki varl\u0131\u011f\u0131n\u0131 gizleme konusunda ustad\u0131r. Sald\u0131rganlar, ele ge\u00e7irilen siteye eri\u015fimi s\u00fcrd\u00fcrmek i\u00e7in y\u00f6netici ayr\u0131cal\u0131klar\u0131na sahip kendi hesaplar\u0131n\u0131 olu\u015fturur ve DollyWay bu hesab\u0131 WordPress kontrol panelinden gizler.<\/p>\n

Hesaplar\u0131n\u0131n tespit edilmesi durumunda, sald\u0131rganlar me\u015fru y\u00f6neticilerin kimlik bilgilerini de ele ge\u00e7irirler. Bunu yapmak i\u00e7in DollyWay, sitenin y\u00f6netici giri\u015f formuna girilen her \u015feyi izler ve verileri gizli bir dosyaya kaydeder.<\/p>\n

Sald\u0131rganlar ayr\u0131ca varl\u0131klar\u0131n\u0131n \u00e7al\u0131\u015f\u0131r durumda kalmas\u0131n\u0131 sa\u011flamak i\u00e7in de \u00f6nlem al\u0131rlar. Ara\u015ft\u0131rmac\u0131lar, sald\u0131rganlar taraf\u0131ndan vir\u00fcsl\u00fc siteleri korumak i\u00e7in kullan\u0131ld\u0131\u011f\u0131 anla\u015f\u0131lan bir komut dosyas\u0131n\u0131n kan\u0131tlar\u0131n\u0131 buldular. \u00d6zellikle, WordPress\u2019i g\u00fcncelleyebilir, gerekli bile\u015fenleri y\u00fckleyebilir ve g\u00fcncelleyebilir ve k\u00f6t\u00fc ama\u00e7l\u0131 kod enjeksiyonunu ba\u015flatabilir.<\/p>\n

Uzmanlar ayr\u0131ca sald\u0131rganlar\u0131n, daha pek \u00e7ok i\u015flevinin yan\u0131nda, g\u00fcvenli\u011fi ihlal edilmi\u015f siteleri g\u00fcncellemek ve rakip k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131 uzak tutmak i\u00e7in kulland\u0131klar\u0131 bir web kabu\u011fu ke\u015ffetti. Bu da sald\u0131rganlar\u0131n di\u011fer k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n trafi\u011fi ele ge\u00e7irmesini ya da site sahibini uyarabilecek herhangi bir g\u00fcvenlik alarm\u0131 vermesini engellemek istediklerini g\u00f6steriyor.<\/p>\n

Uzmanlar, bak\u0131m beti\u011fi ve web kabu\u011funun DollyWay\u2019in bula\u015ft\u0131\u011f\u0131 her sitede da\u011f\u0131t\u0131lmad\u0131\u011f\u0131na inan\u0131yor. Bu t\u00fcr bir altyap\u0131y\u0131 10.000 sahan\u0131n tamam\u0131nda s\u00fcrd\u00fcrmek \u00e7ok yo\u011fun kaynak gerektirecektir. Muhtemelen sald\u0131rganlar bu komut dosyalar\u0131n\u0131 yaln\u0131zca en de\u011ferli varl\u0131klar\u0131na yerle\u015ftiriyorlar.<\/p>\n

Kurumsal web sitenizi koruma<\/h2>\n

DollyWay World Domination sald\u0131r\u0131 kampanyas\u0131n\u0131n b\u00fcy\u00fckl\u00fc\u011f\u00fc ve uzun \u00f6m\u00fcrl\u00fcl\u00fc\u011f\u00fc, \u015firket web sitelerinin d\u00fczenli olarak g\u00fcvenlik denetiminden ge\u00e7irilmesi gerekti\u011finin alt\u0131n\u0131 bir kez daha \u00e7iziyor. WordPress siteleri s\u00f6z konusu oldu\u011funda; platform altyap\u0131s\u0131n\u0131n en savunmas\u0131z k\u0131s\u0131mlar\u0131 oldu\u011fu defalarca kan\u0131tlanan eklentiler ve temalar, \u00f6zel bir ilgiyi hak ediyor.<\/p>\n

\u015eirketinizin web sitesinin DollyWay\u2019in kurban\u0131 oldu\u011fundan \u015f\u00fcpheleniyorsan\u0131z, ara\u015ft\u0131rmac\u0131lar dosya olu\u015fturma ve silme olaylar\u0131n\u0131 yak\u0131ndan takip etmenizi \u00f6neriyor. DollyWay v3\u2019\u00fcn baz\u0131 s\u00fcr\u00fcmleri her sayfa y\u00fcklendi\u011finde dosya i\u015flemleri ger\u00e7ekle\u015ftirdi\u011finden, bu t\u00fcr bir etkinlik g\u00fcvenlik ihlali olabilir.<\/p>\n

\u0130\u015fte g\u00fcvenli\u011fin tehlikeye at\u0131ld\u0131\u011f\u0131na dair belirtilerle kar\u015f\u0131la\u015f\u0131rsan\u0131z yapman\u0131z gerekenler.<\/p>\n