Çince dil kumar platformlarını tanıtmak için kötü amaçlı JavaScript enjekte ile meşru web sitelerine sızan devam eden bir kampanya, bugüne kadar yaklaşık 150.000 siteyi tehlikeye atmak için balonlu.
C/yan güvenlik analisti Himanshu Anand, “Tehdit oyuncusu arayüzlerini biraz yeniledi, ancak yine de ziyaretçinin tarayıcısında tam ekran bir kaplama görüntülemek için bir IFrame enjeksiyonuna güveniyor.” söz konusu yeni bir analizde.
Yazma olarak var 135.800’den fazla site JavaScript yükünü içeren, istatistiklere göre publicwww.
Geçen ay web sitesi güvenlik şirketi tarafından belgelendiği gibi, kampanya, siteleri ziyaretçileri kumar platformlarını tanıtan sayfalara yönlendirmek için kullanıcının tarayıcı penceresini ele geçirmek üzere tasarlanmış kötü amaçlı JavaScript ile enfekte etmeyi içeriyor.
Yeniden yönlendirmenin beş farklı alanda barındırılan JavaScript aracılığıyla gerçekleştiği bulunmuştur (örn., “Zuizhongyj[.]com “) bu da, yönlendirmelerin gerçekleştirilmesinden sorumlu ana yükü sunar.
C/Side, kampanyanın HTML’de resmi logolar ve markalaşma kullanarak BET365 gibi meşru bahis web sitelerini taklit etmeyi enjekte etmeyi gerektiren kampanyanın başka bir varyantını da gözlemlediğini söyledi.
Nihai hedef, gerçek web içeriğinin yerine enfekte olmuş sitelerden birini ziyaret ederken kötü niyetli kumar açılış sayfasının görüntülenmesine neden olan CSS kullanarak tam ekran bir kaplama sunmaktır.
Anand, “Bu saldırı, tehdit aktörlerinin sürekli olarak nasıl uyum sağladığını, erişimini artırdığını ve yeni gizleme katmanlarını kullanmayı gösteriyor.” Dedi. “Her gün gittikçe daha fazla bulgu ile bu gibi müşteri tarafı saldırıları artıyor.”
Açıklama, Godaddy’nin 2016 yılından bu yana 20.000’den fazla web sitesini tehlikeye atan Dollyway dünya hakimiyeti olarak adlandırılan uzun süredir devam eden bir kötü amaçlı yazılım operasyonunun ayrıntılarını açıkladığı gibi geliyor. Şubat 2025 itibariyle 10.000’den fazla benzersiz WordPress sitesi plana kurban etti.
“Mevcut yineleme […] Öncelikle enfekte olmuş WordPress siteleri ziyaretçilerini, güvenliği ihlal edilmiş web sitelerinde barındırılan dağıtılmış bir trafik yön sistemi (TDS) düğümünü kullanan enjekte edilmiş yönlendirme komut dosyaları aracılığıyla hedefler. “Güvenlik araştırmacısı Denis SineGubko söz konusu.
“Bu komut dosyaları, küresel ağlarda kötü amaçlı yazılım ve dolandırıcılık sunmak için sofistike DNS tekniklerini, trafik dağıtım sistemlerini ve alan üretim algoritmalarından yararlanan bilinen en büyük siber suçlu satış ortağı ağlarından biri olan Vextrio ile ilişkili trafik komisyoncusu ağları aracılığıyla çeşitli aldatmaca sayfalarına yönlendiriyor.”
Saldırılar, WordPress sitesine dinamik olarak oluşturulan bir komut dosyası enjekte etmekle başlar ve sonuçta ziyaretçileri Vextrio veya Lospolos bağlantılarına yönlendirir. Etkinliğin ayrıca reklam ağları kullandığı söyleniyor. Pervaneler Meyvadan ihlal edilen sitelerden gelen trafiği para kazanmak için.
Sunucu tarafındaki kötü niyetli enjeksiyonlar, etkin eklentilere eklenen PHP kodu aracılığıyla kolaylaştırılırken, güvenlik eklentilerini devre dışı bırakmak, kötü amaçlı yönetici kullanıcılarını silmek ve hedeflerini karşılamak için meşru yönetici kimlik bilgilerini sifonlamak için adımlar atar.
Godaddy, o zamandan beri Dollyway TDS’nin, TDS ve komut ve kontrol (C2) düğümleri olarak dağıtılmış bir uzlaşmacı WordPress ağından yararlandığını ve aylık 9-10 milyon sayfa izlenimine ulaştığını açıkladı. Ayrıca, Vextrio yönlendirme URL’lerinin Lospollos trafik broker ağı.
Kasım 2024 civarında, Dollyway operatörlerinin C2/TDS sunucularının birçoğunu sildikleri söyleniyor ve TDS komut dosyası TrafficRedIrect adlı bir telgraf kanalından yönlendirme URL’lerini elde ediyor.
“Dollyway’in Lospolos ile ilişkisinin bozulması, bu uzun süredir devam eden kampanyada önemli bir dönüm noktasını işaret ediyor,” dikkat çeken. “Operatörler, alternatif trafik para kazanma yöntemlerine hızla geçerek dikkate değer bir uyum göstermiş olsa da, hızlı altyapı değişiklikleri ve kısmi kesintiler bir miktar operasyonel etki gösteriyor.”
