За последние годы ведется масштабная кибератака, в ходе которой на легитимные ресурсы внедряют вредоносный JavaScript для перенаправления посетителей на китайскоязычные игровые платформы. По оценкам, заражено около 150 000 сайтов, что свидетельствует о высокой степени проникновения злоумышленников.
На сегодняшний день более 135 800 сайтов содержат вредоносную нагрузку, как подтверждает источник PublicWWW. Эти цифры отражают продолжающийся характер кампании и указывают на серьезность проблемы, с которой сталкиваются владельцы онлайн-ресурсов по всему миру.
Вредоносный сценарий внедряется через внедрение JavaScript-кода, призванного захватывать окно браузера пользователя. Скрипт производит перенаправление, используя CSS для создания полноэкранного оверлея, который полностью заменяет оригинальное содержимое сайта на рекламную страницу азартных игр. Перенаправление осуществляется посредством скриптов, размещенных на пяти различных доменах, примером которых является «zuizhongyj[.]com».
Эксперт Anand отмечает: «Это атака демонстрирует, как злоумышленники постоянно адаптируются, расширяя охват и используя новые уровни сокрытия». По его словам, клиентские атаки, подобные данной, наблюдаются все чаще, подтверждая нарастающую активность в сфере киберугроз.
Параллельно функционирует операция «DollyWay World Domination», о которой заявил GoDaddy. С 2016 года эта кампания скомпрометировала более 20 000 сайтов по всему миру, а по состоянию на февраль 2025 года — свыше 10 000 уникальных WordPress-ресурсов. В данной итерации атак злоумышленники инициируют перенаправление посетителей с помощью распределенной сети узлов Traffic Direction System (TDS), расположенных на взломанных сайтах.
В ходе атаки динамически генерируемый JavaScript-код внедряется на WordPress-ресурсы и перенаправляет пользователей на ссылки, связанные с VexTrio или LosPollos. Помимо этого, владельцы зараженных сайтов вынуждены сталкиваться с монетизацией через рекламные сети, например PropellerAds. На стороне сервера в активные плагины добавляется PHP-код, который отключает защитные модули, удаляет вредоносные учетные записи администратора и похищает легитимные административные данные.
Инфраструктура атаки, организованная через сеть DollyWay TDS, использует скомпрометированные WordPress-сайты в качестве узлов командования и управления. По оценкам, эта распределенная система генерирует 9–10 миллионов показов страниц ежемесячно, а перенаправления к URL-адресам VexTrio осуществляются через партнерство с LosPollos.
В ноябре 2024 года операторы DollyWay сообщили об удалении нескольких серверов командования и управления, после чего скрипт TDS стал получать URL-адреса перенаправлений через Telegram-канал «trafficredirect». Denis Sinegubko подчеркивает: «Нарушение взаимоотношений DollyWay с LosPollos стало знаковым этапом в этой долговременной кампании», добавляя о быстрой адаптации злоумышленников к изменениям в инфраструктуре и методах монетизации.
Изображение носит иллюстративный характер
На сегодняшний день более 135 800 сайтов содержат вредоносную нагрузку, как подтверждает источник PublicWWW. Эти цифры отражают продолжающийся характер кампании и указывают на серьезность проблемы, с которой сталкиваются владельцы онлайн-ресурсов по всему миру.
Вредоносный сценарий внедряется через внедрение JavaScript-кода, призванного захватывать окно браузера пользователя. Скрипт производит перенаправление, используя CSS для создания полноэкранного оверлея, который полностью заменяет оригинальное содержимое сайта на рекламную страницу азартных игр. Перенаправление осуществляется посредством скриптов, размещенных на пяти различных доменах, примером которых является «zuizhongyj[.]com».
Эксперт Anand отмечает: «Это атака демонстрирует, как злоумышленники постоянно адаптируются, расширяя охват и используя новые уровни сокрытия». По его словам, клиентские атаки, подобные данной, наблюдаются все чаще, подтверждая нарастающую активность в сфере киберугроз.
Параллельно функционирует операция «DollyWay World Domination», о которой заявил GoDaddy. С 2016 года эта кампания скомпрометировала более 20 000 сайтов по всему миру, а по состоянию на февраль 2025 года — свыше 10 000 уникальных WordPress-ресурсов. В данной итерации атак злоумышленники инициируют перенаправление посетителей с помощью распределенной сети узлов Traffic Direction System (TDS), расположенных на взломанных сайтах.
В ходе атаки динамически генерируемый JavaScript-код внедряется на WordPress-ресурсы и перенаправляет пользователей на ссылки, связанные с VexTrio или LosPollos. Помимо этого, владельцы зараженных сайтов вынуждены сталкиваться с монетизацией через рекламные сети, например PropellerAds. На стороне сервера в активные плагины добавляется PHP-код, который отключает защитные модули, удаляет вредоносные учетные записи администратора и похищает легитимные административные данные.
Инфраструктура атаки, организованная через сеть DollyWay TDS, использует скомпрометированные WordPress-сайты в качестве узлов командования и управления. По оценкам, эта распределенная система генерирует 9–10 миллионов показов страниц ежемесячно, а перенаправления к URL-адресам VexTrio осуществляются через партнерство с LosPollos.
В ноябре 2024 года операторы DollyWay сообщили об удалении нескольких серверов командования и управления, после чего скрипт TDS стал получать URL-адреса перенаправлений через Telegram-канал «trafficredirect». Denis Sinegubko подчеркивает: «Нарушение взаимоотношений DollyWay с LosPollos стало знаковым этапом в этой долговременной кампании», добавляя о быстрой адаптации злоумышленников к изменениям в инфраструктуре и методах монетизации.
