WordPress

DollyWay」と名付けられたマルウェア作戦は2016年から進行しており、全世界で2万以上のWordPressサイトを侵害し、ユーザーを悪意のあるサイトにリダイレクトさせている。

このキャンペーンは過去8年間で大きく進化し、高度な回避、再感染、収益化戦略を活用している。

GoDaddyのリサーチャーDenis Sinegubkoによると、DollyWayは最新バージョン(v3)では大規模な詐欺リダイレクトシステムとして機能しています。しかし、過去にはランサムウェアやバンキング型トロイの木馬など、より有害なペイロードを配布していました。

GoDaddyセキュリティの研究者は、複数のマルウェアキャンペーンを “DollyWay World Domination “と名づけた単一の長期的な作戦にリンクする証拠を発見しました。

「以前は別々のキャンペーンであると考えられていましたが、私たちの調査により、これらの攻撃は共通のインフラ、コードパターン、収益化手法を共有していることが明らかになりました。

“この作戦は、マルウェアのいくつかのバリエーションに見られる次のような特徴的な文字列にちなんで命名されました: define(‘DOLLY_WAY’, ‘World Domination’)。”

何千ものステルス感染

DollyWay v3は、プラグインやテーマのn-day欠陥を利用して脆弱なWordPressサイトを狙う、高度なリダイレクト操作です。

2025年2月現在、DollyWayはWordPressサイトの訪問者を偽の出会い系、ギャンブル、暗号、懸賞サイトにリダイレクトすることで、毎月1000万件の不正インプレッションを生み出しています。

Landing page DollyWay redirects victims to
DollyWay が被害者を
にリダイレクトするランディングページ:GoDaddy

このキャンペーンは、トラフィック・ディレクション・システム(TDS)を通じて訪問者をフィルタリングした後、VexTrioとLosPollosのアフィリエイト・ネットワークを通じて収益化されています。

トラフィックディストリビューションシステムは、位置情報、デバイスタイプ、リファラーなど、訪問者のさまざまな側面に基づいてウェブトラフィックを分析し、リダイレクトします。サイバー犯罪者は通常、悪意のあるTDSシステムを使用して、ユーザーをフィッシングサイトやマルウェアのダウンロードにリダイレクトします。

ウェブサイトは、「wp_enqueue_script」によるスクリプトインジェクションによって侵害され、侵害されたサイトから2つ目のスクリプトが動的にロードされます。

第2段階では、リダイレクトトラフィックを分類するために訪問者のリファラーデータを収集し、ターゲットの有効性を決定するTDSスクリプトをロードします。

リファラーがなく、ボットではなく(スクリプトには102の既知のボットユーザーエージェントのハードコードされたリストがあります)、ログインしていないWordPressユーザー(管理者を含む)は無効とみなされ、リダイレクトされません。

第3段階では、TDSノードとして機能する3つのランダムな感染サイトを選択し、そのうちの1つから隠しJavaScriptをロードして、VexTrioまたはLosPollos詐欺ページへの最終的なリダイレクトを実行します。

JavaScript snippet designed to perform conditional redirection to a scam website
詐欺サイトへの条件付きリダイレクトを実行するJavaScriptスニペット
ソースはこちら:GoDaddy

このマルウェアは、アフィリエイト・トラッキング・パラメーターを使用して、攻撃者が各リダイレクトに対して報酬を得られるようにしています。

注目すべきは、最終的なリダイレクトは訪問者がページ要素と相互作用(クリック)した場合にのみ発生し、ページの読み込みのみを検査するパッシブスキャンツールを回避することです。

自動再感染で永続性を確保

Sinegubko氏は、DollyWayはページがロードされるたびに自動的にサイトに再感染する非常に永続的な脅威であるため、これを除去するのは特に困難であると説明する。

DollyWayは、すべてのアクティブなプラグインにPHPコードを拡散し、さらに難読化されたマルウェアのスニペットを含むWPCodeプラグインのコピーを追加することでこれを実現する。

WPCodeは、管理者がテーマファイルやWordPressのコードを直接編集することなく、WordPressの機能を変更する「コード」の小さなスニペットを追加できるようにするサードパーティのプラグインです。

Obfuscated PHP code injected into plugins
プラグインに注入された難読化されたPHPコード
ソースはこちら:GoDaddy

攻撃の一環として、ハッカーはWordPressのプラグインリストからWPCodeを隠し、管理者が見たり削除したりできないようにして、駆除を複雑にしています。

DollyWayはまた、ランダムな32文字の16進文字列を名前にした管理ユーザーを作成し、管理パネルにそれらのアカウントを隠したままにしています。これらのアカウントは、データベースを直接検査することによってのみ見ることができます。

GoDaddyは、この脅威に対する防御を支援するために、DollyWayに関連する侵害の指標(IoC)の完全なリストを共有しました。

GoDaddyは、この脅威からの防御に役立てるため、DollyWayに関連する侵害の指標(IoC)の完全なリストを公開しました。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。