DollyWay マルウェア キャンペーン

2016 年から活動しているマルウェア オペレーション DollyWay は、世界中で 20,000 を超える WordPress サイトを侵害してきました。この進行中のキャンペーンは、年々巧妙化しており、回避、再感染、収益化の戦略が洗練され、サイト セキュリティに対する重大な脅威となっています。

DollyWayの戦術リダイレクトシステムへの進化

当初、DollyWay はランサムウェアやバンキング型トロイの木馬を配布し、サイト訪問者に直接的な脅威を与えていました。しかし、現在のバージョン (DollyWay v3) では、このマルウェアは詐欺リダイレクト システムとして動作することに重点を移し、ユーザーを詐欺サイトに誘導しています。

最近の調査により、DollyWay は「DollyWay World Domination」として知られる、より大規模で長期にわたる活動の一部であることが明らかになりました。この活動には、類似したコード、インフラストラクチャ、収益化戦術を共有する複数のキャンペーンが含まれています。このマルウェアは、コード内に見つかった文字列にちなんで名付けられました。

DollyWay v3 が何千もの WordPress サイトを危険にさらす方法

DollyWay v3 は、プラグインやテーマの n-day 欠陥を悪用して、脆弱な WordPress サイトをターゲットにします。サイトが侵害されると、マルウェアは訪問者を偽の出会い系、ギャンブル、暗号通貨詐欺、懸賞を提供する悪質なサイトにリダイレクトします。

2025 年 2 月現在、DollyWay は毎月 1,000 万件を超える不正なインプレッションを生成し、VexTrio および LosPollos アフィリエイト ネットワークを通じて収益化される詐欺ページにトラフィックを誘導しています。このリダイレクト プロセスは、特定の特性に基づいてユーザーをフィルタリングするトラフィック ディレクション システム (TDS) によって管理されています。

3段階の感染プロセス

• インジェクションとリダイレクトの設定: マルウェアは wp_enqueue_script を使用してサイトにスクリプトを挿入し、侵害されたサイトから 2 番目の安全でないスクリプトを読み込みます。
• トラフィック フィルタリング: 2 番目のスクリプトは、訪問者のリファラー データを分析し、リダイレクト先を分類します。次の場合、ユーザーはリダイレクトされません。
• リファラー（ウェブサイトを直接訪問した人）は存在しません。
• ボットとして検出されます。
• 管理者を含む、ログインしている WordPress ユーザーです。
• 詐欺ページへの最終的なリダイレクト: ランダムに感染した 3 つのサイトが TDS ノードとして機能し、訪問者を VexTrio または LosPollos 詐欺ページにリダイレクトする隠し JavaScript を読み込みます。このリダイレクトは、訪問者がページ要素をクリックした場合にのみ発生するため、検出が困難になります。

DollyWayの粘り強さとステルス技術

DollyWay は、感染したサイトでの持続性を確保するためにさまざまな手法を開発しました。WordPress サイトに侵入すると、マルウェアはページが読み込まれるたびに再感染し、除去を困難にします。その主な戦術は次のとおりです。

• アクティブなプラグイン全体に PHP コードを分散します。
• WPCode プラグイン (コア ファイルを変更せずに WordPress を変更するために使用されるサードパーティ ツール) に悪意のあるコードを挿入します。
• プラグインリストから WPCode を非表示にすると、管理者には見えなくなり、削除が難しくなります。

さらに、このマルウェアはランダムな 32 文字の 16 進文字列を持つ隠し管理者アカウントを作成します。このアカウントはデータベースを直接検査することによってのみ表示され、攻撃者がサイトを制御できるようにします。

結論: 持続的かつ進化する脅威

DollyWay は、ますます洗練された戦術で進化し続ける、継続的で回復力のあるマルウェア キャンペーンです。その機能は次のとおりです。

• サイトを自動的に再感染させる
• 隠しスクリプトと管理者アカウントで検出を回避する
• 詐欺関連ネットワークを通じてリダイレクトトラフィックを収益化する

…これは世界中の WordPress サイト所有者にとって深刻な脅威となります。Web サイト管理者は、感染のリスクを軽減するために、常に警戒し、テーマ、プラグイン、セキュリティ プロトコルを定期的に更新する必要があります。